TokyoBlackHatNews

darkreading.com 4分で読了

ウクライナ警察がキエフでのファイルレスフィッシング攻撃でなりすまし被害

白、青、赤、黄色の破れた素材のパッチワークのようなパズル

出典:Daniren(Alamy Stock Photoより)

攻撃者は、ウクライナ警察になりすまして、ファイルを使わないフィッシングキャンペーンを実施し、複数の認証情報やデータを収集するための2種類のデータ窃取型ペイロードを配布し、標的システムで暗号通貨のマイニングも行っています。

この攻撃は、ウクライナの政府機関を標的としたMicrosoft Windowsマシンを狙い、受信者をだまして有害な添付ファイルを開かせるために、悪意のあるSVG(Scalable Vector Graphics)ファイルを含むメールを利用していると、Fortiguard Labsの脅威リサーチは最近のブログ投稿で明らかにしました

攻撃者は、ウクライナ国家警察からの公式通知を装ったメッセージで被害者をだまし、最終的に2つのマルウェア(Amatera StealerとPureMiner)をファイルレス攻撃チェーンで配布します。

「このフィッシングキャンペーンは、悪意のあるSVGファイルがHTMLの代替として感染チェーンを開始できることを示しています」とFortiguard Labsの脅威リサーチャー、Yurren Wan氏は投稿で述べています。「SVGに埋め込まれたHTMLコードが被害者をダウンロードサイトにリダイレクトしました。」

ウクライナ警察のなりすまし

このキャンペーンは、被害者がウクライナ国家警察からの通知を装った偽のメールを受信し、悪意のあるSVG添付ファイル(「elektronni_zapit_NPU.svg」という名前)を含み、そこにHTMLの<iframe>要素が埋め込まれています。

このメッセージは、申立てが審査のために提出されたことを受信者に知らせ、通知を無視するとさらなる法的措置が取られる可能性があると警告します。「テキストは一般的ですが、正式で法的な響きのある言葉を使い、受信者に添付ファイルを開かせるよう圧力をかけています」とWan氏は記しています。

もし被害者が添付ファイルをクリックすると、SVGが実行され、ウクライナ語で「お待ちください。ドキュメントを読み込んでいます」と表示する偽のAdobe Readerインターフェースが表示されます。その後、自動的にパスワード付きアーカイブのダウンロードページにリダイレクトされ、解凍用のパスワードも表示されます。

アーカイブにはCompiled HTML Help(CHM)ファイルが含まれており、HTMLアプリケーション(HTA)CountLoaderを通じて一連の悪意ある動作を引き起こします。

AmateraとPureMinerのペイロードの詳細

最終的に、この攻撃は2つのペイロードをインストールします。Amatera Stealerは、認証情報の収集、システムデータ、アプリケーションデータ、ブラウザファイル、暗号通貨ウォレットの窃取に使用されます。一方、PureMinerは、ステルス性の高い.NET暗号通貨マイナーで、アダプター固有のハードウェア情報を収集し、システムの活動を監視します。

Amateraが実行されると、コンピュータ名、ユーザー名、オペレーティングシステム、ユーザーの位置情報、タイムゾーンなどのシステム情報を収集し、さらにさまざまなブラウザやアプリケーションから認証情報を収集します。標的となるブラウザには、Firefox、Netscape Navigator、Chrome、Edge、Braveなど多数が含まれ、またTelegramやSteamなどのチャットアプリからもデータを窃取します。

また、ビデオカード名、プロセッサモデル、物理メモリ総量などのハードウェア情報や、プログラムの実行パス、アクティブなプロセス、インストール済みソフトウェア、クリップボードの内容など追加情報も標的とします。

PureMinerは展開されると、システム情報、特にビデオアダプターの仕様や使用状況を収集し、攻撃者の設定に応じてCPUベースまたはGPUベースのマイニングモジュールを展開できますとWan氏は述べています。

攻撃チェーンは、.NETのAOT(Ahead-of-Time)コンパイルによるプロセスホローイングや、PythonMemoryModuleを使って直接メモリにロードするなど、ファイルレスでペイロードを展開し、最終ペイロードを配布します。

ウクライナへの悪質なサイバー活動は継続

2022年2月のロシアによるウクライナ侵攻以降、現在も続いている中、ウクライナのさまざまな組織がサイバー攻撃の脅威にさらされています。今回のフィッシングキャンペーンは、数ある攻撃の一つに過ぎず、公共・民間の市民、政府機関、重要インフラを狙ったものです。

Fortiguard Labsは、このファイルレスフィッシングキャンペーンを高リスクと評価し、被害者が機密データを盗まれるだけでなく、コンピュータ資源を乗っ取られたり、追加のマルウェアを配布される恐れがあるとして、警戒を呼びかけています。

そのため、ブログ投稿には、関連するドメイン/IPアドレスやファイルなど、インジケーター・オブ・コンプロマイズ(IoC)のリストが含まれており、防御側がウイルス対策やその他のセキュリティシステムで検出・阻止できるようになっています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/ukrainian-cops-spoofed-fileless-phishing-attacks-kyiv

ソース: darkreading.com
#AIサイバーセキュリティ #Amatera Stealer #PureMiner #SVGファイル #ウクライナ #ファイルレスマルウェア #フィッシング攻撃 #ロシア・ウクライナ戦争 #暗号資産マイニング #警察なりすまし

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開