高度なフィッシングキャンペーンが、ボーイング調達担当者になりすまして産業サプライヤーを狙っています。
偽の「ジョイス・マレーベ」からの大規模な注文リクエストとして偽装された攻撃は、武器化されたWord文書を使用して複雑な6段階のキルチェーンを開始します。
レガシードキュメント機能、難読化されたスクリプト、および完全なPythonランタイムを組み合わせることで、攻撃者は標準的なアンチウイルスアラームをトリガーすることなく、Cobalt Strikeをメモリに直接展開することに成功しています。
「NKFZ5966PURCHASE」キャンペーンとして追跡された攻撃は、標準的なDOCXファイルで始まります。しかし、攻撃者は「aFChunk」と呼ばれる古いが効果的なトリックを使用して、4MBの大規模なRTFファイルをドキュメント構造内に隠します。
ほとんどのメールゲートウェイはDOCXのトップレベル構造のみをスキャンするため、悪意のあるRTFは簡単に防御をすり抜けます。
RTF内では、隠されたJavaScriptドロッパーが待っています。トリガーされると、隠されたPowerShellウィンドウを生成します。
このPowerShellスクリプトは、Microsoftのマルウェア対策スキャンインターフェース(AMSI)をバイパスし、セキュリティ証明書の警告を無視するなどの高度な回避技術を使用して、次の移動を通常のウェブブラウザのダウンロードとして偽装します。
スクリプトはFilemail.comに接続します。これは通常URLフィルターをバイパスする正当なファイル共有サービスで、14.5MBのZIPファイルをダウンロードします。このアーカイブには、完全に正当なデジタル署名されたPython 3.12ランタイムが含まれており、「license.pdf」という名前のファイルも含まれています。
しかし、PDFはトラップです。実は、非常に暗号化された悪意のあるDLLファイルです。PythonスクリプトはハードコードされたAES-256キーを使用してこの偽のPDFを復号化し、コンピュータのメモリに直接注入します。
最終的な実行可能ペイロードをハードドライブに保存しないことで、攻撃者は従来のファイルスキャンセキュリティツールを回避しながらCobalt Strikeビーコンを展開します。
攻撃の印象的な技術アーキテクチャにもかかわらず、操作者は重大なオペレーショナルセキュリティ(OPSEC)の誤りを犯しました。
キャンペーンはイタリアの組織への最近の攻撃を含めて積極的に拡大していますが、攻撃者は怠けてインフラストラクチャと設定を再利用しています。
まず、彼らは餌文書からメタデータをクリーニングできませんでした。ファイルはまだ「Christian Booc」と「John」を著者として列挙し、テンプレートが元々2021年に構築されたことを示しており、操作者が5年前のツールキットを再利用していることを示唆しています。
しかし、単一のファイル共有プラットフォームと静的キャンペーンタグへの依存により、彼らの全体的な操作が簡単に露出されます。
Filemail上の複数のペイロードURLは生きたままで、即座のネットワークブロッキングは防御者にとって重大な優先事項になります。
明確なレポーティングプラクティスに沿って、セキュリティチームは、濃密な指標リストに厳密に依存するのではなく、これらの永続的な行動指標と静的暗号化キーに焦点を当てて侵害を検出することをお勧めします。
翻訳元: https://cyberpress.org/boeing-rfq-attack-escalates/