出典:n.k.junky/Shutterstock
ベトナムを拠点とする脅威グループが、求職者やデジタルマーケティングの専門家を標的に、監視やデータ窃取を目的としたマルウェアを配布するフィッシングメールを送りつけています。
Aryaka Threat Research Labsの研究者がBatShadowグループに帰属するとしたこのキャンペーンは、PDFの誘導文書と隠された悪意あるファイルを含むZIPアーカイブに依存しており、これらを開くことでマルウェアのインストールが引き起こされます。
Aryakaが追跡しているこのマルウェア「ヴァンパイアボット」は、感染したシステムのプロファイリング機能を備えています。持続性を保つために自身を隠し、継続的にスクリーンショットを取得して、攻撃者に被害者マシンへの大きな可視性とコントロールを与えます。
血に飢えた持続的な監視ツール
「ヴァンパイアボットの中心的な特徴は、継続的なデスクトップ監視です」とAryakaは今週のブログ記事で述べています。「このマルウェアは設定可能な間隔でスクリーンショットを取得し、それらをWEBP形式に圧縮して暗号化されたチャネル経由で外部に送信します。」Go言語で書かれたヴァンパイアボットは、コマンド&コントロール(C2)サーバーに継続的にアクセスし、新たなコマンドの受信や追加ペイロードのダウンロードも行うと、同社は述べています。
BatShadowは、Aryakaが以前にも一般的なマルウェアを用いて被害者を標的にしているのを確認した脅威グループです。東南アジアのこの国から活動するサイバー犯罪グループは増加傾向にあり、国内外の組織を標的にしています。より有名なグループには、OceanLotus(別名APT32)があり、これはベトナム政府や同政府が関心を持つ人物を標的にした高度持続的脅威(APT)アクターです。Ocean Buffalo,やCoralRaiderなども存在します。今年初めには、SentinelOneとBeazley Securityの研究者が、ベトナム語を話すハッカーによる大規模で高度に回避的、かつ多段階のキャンペーンを報告しました。両社はこのキャンペーンを、被害者データを売買する洗練されたTelegramベースの犯罪マーケットプレイスと結びつけています。BatShadowと同様、これらのグループや作戦も初期アクセス獲得のためにフィッシングに頼る傾向があります。
Aryakaによると、BatShadowの最新キャンペーンの標的は、転職中やオンラインでの可視性が高い個人、例えば求職者やデジタルマーケティングの専門家です。こうした個人はサイバー犯罪者にとって魅力的な標的であり、特に北朝鮮からの攻撃者にとっては、キャリアチャンスやクライアント案件を装った未承諾メールや未知のファイルを開く可能性が高いため、狙われやすいといえます。このキャンペーンは、脅威アクターがプロフェッショナルな業務フローへの信頼を悪用して持続性を確保し、システム監視や機密情報の外部送信を行いながら、その活動を通常のトラフィックに紛れ込ませていることを示しています。」
PDFが誘導手段に変身
ヴァンパイアボットは通常、無害に見えるPDF文書と、偽装されたファイル名の悪意ある実行ファイルを組み合わせたZIPファイルを通じてシステムに感染します。ユーザーがこれらを解凍して実行すると、マルウェアはステルス性の高いPowerShellスクリプトを起動し、偽のPDFを表示して注意をそらしつつ、裏でマルウェアを静かに展開します。場合によっては、Aryakaの研究者は、マルウェアが被害者にデフォルトブラウザの変更を促し、ネイティブのセーフガードを回避して配信を確実にする様子も観察しました。
一度システムに侵入すると、ヴァンパイアボットはデバイスの仕様、OSの詳細、管理者権限、アンチウイルスの設定など、多数のシステム情報を収集し、C2サーバーへ送信します。簡単に検知されないよう、ヴァンパイアボットはコアシステムフォルダ内に隠れ、さらに追加のタグや属性を付与して自身を隠蔽します。「なじみのある求人応募ワークフローに悪意のあるコードを埋め込むことで」とAryakaは述べています。「攻撃者は成功率を高め、検知される可能性を低減しています。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/vampire-bot-malware-job-hunters
