Web3プラットフォームのカスタマーサポートキューは、日常的なユーザーの問い合わせに偽装した高度な多段階マルウェアキャンペーンに直面しています。最近、分散型取引所の1inchは、同社のサポートスタッフを狙った持続的な脅威を特定した。
攻撃者はトランザクション支援が必要な不満を持つユーザーになりすまし、無害に見えるスクリーンショットであるように見えるリンクを共有しました。標準的な画像の代わりに、これらのリンクはワークステーションを侵害し、永続的なバックドアアクセスを確立するように設計された複雑な感染チェーンを開始しました。
このキャンペーンは脅威アクターの戦術的シフトを示しており、受動的なウォーターホール攻撃から顧客対応従業員への直接的なソーシャルエンジニアリング標的化へと移行しています。
セキュリティ研究者はツールと基盤となるインフラストラクチャを追跡し、中程度の確信度でこの活動をAPT-Q-27、別名GoldenEyeDogという金銭的動機を持つグループに帰属させました。
少なくとも2022年以降、この中国系グループは世界的な暗号資産とギャンブル部門を標的にした記録のある歴史を持っています。
実行に成功すると、初期ローダーはネットワーク通信を確立する前にアンチデバッグおよびサンドボックス回避チェックを実行します。
ローダー内のすべての文字列はカスタム実行時暗号化スキームで保護されており、プレーンテキストのURLやファイルパスがディスク上に保存されることを防いでいます。
マルウェアはAWS S3のデッドドロップからペイロードマニフェストを取得します。これは6ファイルパッケージを隠しステージングディレクトリにダウンロードします。
このディレクトリパスは意図的にWindowsUpdateキャッシュに偽装して、カジュアルなセキュリティ監視を回避し、隠しフォルダ名に一貫して一意の@27タグを追加します。
攻撃者は古典的なDLLサイドローディング技術を利用してペイロードを実行します。ステージングディレクトリには、updat.exeという名前の正当な署名を持つYYプラットフォームから取得した実行ファイルが含まれています。
この正当なバイナリが特定の依存関係をインポートするため、Windowsはローカルディレクトリを最初に検索し、攻撃者がドロップした悪意のあるvcruntime140.dllおよびmsvcp140.dllのコピーを誤ってロードします。
このサイドローディングプロセスは、実行が信頼できるアプリケーションのコンテキスト内で実行されることを確保し、標準署名検証チェックを正常にバイパスします。
最終的なバックドアのインフラストラクチャ分析は、37個の異なるコマンドアンドコントロールサーバーとのハードコードされた通信を明らかにしています。
すべてのアウトバウンドトラフィックはTCPポート15628経由でルーティングされ、カスタム16バイトローリングXOR暗号を使用してネットワーク通信を暗号化します。
これらのIPアドレスの一部は、以前APT-Q-27インフラストラクチャにリンクされた自律システムに存在し、地理位置情報の難読化を使用して真の起源をマスクします。
Web3スペースのシステム管理者は、隠しされた実行ファイルを簡単に識別するために、すべてのワークステーションでファイル拡張子を表示できるようにすることをお勧めします。
さらに、zeroshadowネットワークディフェンダーは、ポート15628上の予期しないアウトバウンド接続とUACレジストリキーの同時ゼロ化を監視する必要があります。
翻訳元: https://cyberpress.org/fake-screenshots-infect-web3-support/