Operation Covert Accessと称する非常に高度なフィッシングキャンペーンが、アルゼンチンの司法部門をターゲットとし、隠密型のRust製リモートアクセストロイの木馬(RAT)を配置しています。
予防的拘禁に関する真正に見える連邦裁判所の判決をおとりとして使用することで、攻撃者は法務実務家と政府機関を多段階の感染チェーンを開始するよう欺いています。
この作戦は、信頼できる配信チャネルと高度な回避技術に依存して、機密性の高い機関ネットワーク内に永続的でステルスなアクセスを確立しています。
侵害は、圧縮されたZIPアーカイブを含むスピアフィッシングメールで始まります。抽出されると、被害者には3つのファイルが表示されます。司法をテーマにしたPDFおとり、武器化されたLNKショートカット、およびBATローダースクリプトです。
LNKファイルと相互作用すると、疑いを避けるために前景に正当に見えるPDFがシームレスに開かれますが、バックグラウンドで悪意のあるローダーが静かにトリガーされます。
ドロップされたペイロードは、本物のホストマシンでのみ実行されることを確認するための広範な解析防止と回避動作を示します。
ほぼ即座にシステムメーカーの詳細を確認し、VMware、VirtualBox、Hyper-Vなどの一般的な仮想化インジケーターのレジストリパスをクエリします。さらに、WiresharkやProcmonなどのデバッグツールのアクティブプロセスをスキャンします。
Process Environment Block(PEB)のタイミングチェックを実行します。分析環境が検出された場合、マルウェアは即座に終了します。
環境が検証されると、RATはホストシステム情報を包括的に収集します。ホスト名、オペレーティングシステム、および特権レベルを含みます。
IPv4およびIPv6解析をサポートする強固なコマンドアンドコントロール(C2)接続を確立し、中断されない通信を確保するためにハードコードされたフォールバックアドレスを使用します。
C2サーバーは、攻撃者が侵害されたマシンを完全に制御できるようにするBase64エンコードされたコマンドを送信します。
ENCRYPTおよびDECRYPTコマンドは、システムファイルをロックできるランサムウェアエンジンを有効化します。
対照的に、ELEVATEコマンドはPowerShellを使用して、ユーザーアカウント制御バイパスを通じて管理者権限をリクエストします。
マルウェアはまた、広範なファイル転送機能と、攻撃者がレジストリキーとスケジュール済みタスクをきれいにワイプし、目標が完了したら感染の痕跡を効果的に削除できるPERSIST_REMOVEコマンドを含みます。
翻訳元: https://cyberpress.org/covert-rat-hits-judiciary/