認証情報をテーマにしたZIPアーカイブと悪意のあるWindowsショートカット(.lnk)ファイルを組み合わせたキャンペーンが、サイバーセキュリティ研究者によって追跡されています。
ZIPファイルは、パスポートのスキャンや支払い記録などの認証済み書類を装っています。ユーザーがショートカットをクリックすると、最小化され難読化されたPowerShellスクリプトが実行され、悪意のあるペイロードがダウンロードされます。
ソーシャルエンジニアリングと回避戦術の融合
BlackPointの新しいアドバイザリによると、この攻撃の新しい点は、従来のソーシャルエンジニアリングと実用的な回避策を組み合わせていることです。
ドロッパーは、ステージングファイルに「.ppt」という名前を付けつつローカルにはDLLとして保存し、「Start-Process」や「rundll32.exe」などの明文を避けるためにバイト配列から主要コマンドを構築し、一般的なアンチウイルスプロセスを検出した場合は異なるサーバーファイルを選択します。この手法は、高度な暗号化よりも運用の信頼性とステルス性を重視しています。
「[ショートカットは]静かに難読化されたPowerShellを起動します」とBlackPointは述べています。
その後、.pptファイルに偽装されたDLLを取得します。
この活動は、管理職向けユーザーを標的として観測されており、本人確認や支払い承認などのエグゼクティブワークフローに合わせて誘導がカスタマイズされていることを示唆しています。
ドロッパーの仕組み
PowerShellドロッパーは、検知されにくい方法で起動します。いわゆるクワイエットフラグを使用し、コマンドが可視ウィンドウを表示したりユーザーに許可を求めたりせずに実行されるようにします。また、進行状況メッセージを抑制し、コンソールをクリアするため、画面上に異常を示す手がかりはほとんど、あるいは全く表示されません。
ダウンロード前に、スクリプトはシステム上の一般的なアンチウイルスプロセスの有無を確認します。見つからなければ、NORVM.pptというラベルのベースラインファイルを要求します。アンチウイルスが存在する場合は、BD3V.pptを要求します。これはよりステルス性を高めたバリアントです。.pptという名前はカバーに過ぎず、スクリプトはファイルをスライドではなく生のバイトとして扱います。
ダウンロードされたバイトは、ユーザープロファイルに短くランダムな名前のDLLとして保存されます。ドロッパーはWindowsユーティリティのrundll32.exeを使い、JMBエクスポートでそのDLLを呼び出します。これは、署名されたシステムプログラムに攻撃者のコードを読み込ませて実行させることを意味します。
実行時に未知の実行ファイルを起動するのではなく、既存のWindowsバイナリを利用するため、この活動は通常のシステム動作のように見えることがあります。この「Living-off-the-land」アプローチにより、インプラントは通常の操作に溶け込み、攻撃者が静かにマシンへの足場を得る一方で、検知や単純なブロックが困難になります。
PowerShellを利用した手法についてさらに読む:PowerShellベースのローダーが新たなファイルレス攻撃でRemcos RATを展開
緩和策と注視すべきシグナル
Blackpointは、このような脅威に対処するためのいくつかの提案を共有しています:
-
アーカイブ内のLNKファイルをブロックまたは検証し、Mark of the Webを強制する
-
WDACやAppLockerでユーザー書き込み可能なパスからの実行を拒否し、rundll32の使用を制限する
-
PowerShellの監視、スクリプトブロックのロギングとAMSIの有効化、TLS検査によるWebエグレスの強化
レポートは、これらの対策が必要である理由として、この攻撃がドキュメントを装ったコンテンツへのユーザーの信頼を利用し、署名済みのシステムバイナリや単純なAV検知回避チェックを使って早期検知を回避していることを警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/shortcut-credential-lures-deliver/
