‘AgingFly’という新しいマルウェアファミリーが、Chromiumベースのブラウザとwhatsappメッセンジャーから認証データを盗む、地方自治体と病院への攻撃で発見されました。
これらの攻撃は先月ウクライナでそこのCERTチームによって検出されました。法医学的証拠に基づくと、ターゲットには国防軍の代表者も含まれる可能性があります。
CERT-UAはこれらの攻撃を、UAC-0247として追跡しているサイバー脅威クラスターに帰属させています。
攻撃チェーン
ウクライナの機関によると、攻撃は対象者が人道支援の提供を装ったメールを受け取ることから始まり、これは埋め込みリンクをクリックするよう促すものです。
このリンクはクロスサイトスクリプティング(XSS)脆弱性を通じて侵害された正当なサイト、またはAIツールを使用して生成されたフェイクサイトにリダイレクトされます。
CERT-UAは、対象者が組み込みHTAハンドラーを起動するショートカットファイル(LNK)を含むアーカイブを受け取ると述べています。このハンドラーはリモートリソースに接続してHTAファイルを取得して実行します。
HTAは注意をそらすための偽のフォームを表示し、スケジュール済みタスクを作成します。このタスクは正当なプロセスにシェルコードを注入するEXEペイロードをダウンロードして実行します。
次に、攻撃者は2段階のローダーを配備します。第2段階はカスタム実行可能形式を使用し、最終的なペイロードは圧縮および暗号化されます。
「典型的なTCPリバースシェルまたはRAVENSHELLに分類されるアナログがステージャーとして使用でき、これは管理サーバーとのTCP接続を確立することを提供します」と、CERT-UAは今日レポートで述べています。
XOR暗号を使用して暗号化されたTCP接続がC2サーバーに確立され、Windowsのコマンドプロンプトを通じてコマンドを実行します。
次の段階では、AgingFlyマルウェアが配信されてデプロイされます。同時に、PowerShellスクリプト(SILENTLOOP)がコマンド実行、設定更新、およびTelegramチャネルまたはフォールバックメカニズムからのC2サーバーアドレスの取得に使用されます。
12件のそのようなインシデントを調査した後、研究者は攻撃者がChromeElevatorというオープンソースセキュリティツールを使用してブラウザデータを盗んでいることを特定しました。このツールはChromiumベースのブラウザ(例:Google Chrome、Edge、Brave)からクッキーや保存されたパスワードなどの機密情報を、管理者権限なしで復号化して抽出することができます。
脅威行為者はまた、ZAPiDESKというオープンソースフォレンジックツールを使用してデータベースを復号化することで、Windows用whatsappアプリケーションから機密データを抽出しようとします。
研究者によると、この行為者は偵察活動に従事し、ネットワーク上で横方向に移動しようとし、RustScanポートスキャナー、Ligolo-ngおよびChiselトンネリングツールなどの公開されているユーティリティを使用しています。
ホストでのソースコードのコンパイル
AgingFlyはC#マルウェアであり、その操作者にリモートコントロール、コマンド実行、ファイル流出、スクリーンショットキャプチャ、キーロギング、および任意のコード実行を提供します。
WebSocketsを通じてC2サーバーと通信し、静的キーを使用したAES-CBCでトラフィックを暗号化します。
研究者は、AgingFlyマルウェアの特殊性として、事前構築されたコマンドハンドラーを含まず、代わりにC2サーバーから受け取ったソースコードからホスト上でそれらをコンパイルすることを指摘しています。
「類似したマルウェアと比較したAGINGFLYの特徴は、コード内に組み込みコマンドハンドラーがないことです。代わりに、C2サーバーからソースコードとして取得され、実行時に動的にコンパイルされます」とCERT-UAが説明しています。
このアプローチの利点には、より小さい初期ペイロード、オンデマンドで機能を変更または拡張する機能、および静的検出を回避する可能性が含まれます。
しかし、この異常なアプローチは複雑性を追加し、C2接続に依存し、より大きいランタイムフットプリントを持ち、最終的には検出リスクを増加させます。
CERT-UAは、このキャンペーンで使用される攻撃チェーンを中断するために、ユーザーがLNK、HTA、およびJSファイルの起動をブロックすることを推奨しています。
