Arctic Wolfの研究者たちは、北米のWeb3および暗号資産組織を標的とした非常に高度なサイバー侵入を発見しました。
研究者たちは、この継続中のグローバルキャンペーンを、北朝鮮のLazarus Groupの金銭的動機を持つサイバー犯罪サブグループであるBlueNoroffに高い確信をもって帰属させています。
脅威アクターは高度なソーシャルエンジニアリング、AI生成ディープフェイク、および独特のファイルレスPowerShell攻撃を使用して、金融セクターの高価値ターゲットを侵害しています。
攻撃のライフサイクルは、慎重に作成されたソーシャルエンジニアリングアプローチで始まります。脅威アクターは金融技術または法律セクターの評判の良い人物になりすまし、対象者に連絡して会議をスケジュールします。
彼らはスピアフィッシング技術を使用して、タイポスクワッティングされたZoomまたはMicrosoft Teamsリンクを含む操作されたCalendlyカレンダー招待状を配信します。この悪意のあるリンクは、正規の会議URLとほぼ同じに見えるように設計されています。
偽の会議が進むにつれて、被害者はオーディオが機能していないことに気付きます。
悪意のあるインターフェースは、被害者のビデオ会議ソフトウェア開発キット(SDK)が古くなっており、即座の更新が必要であると主張する詐欺的なエラーメッセージを表示します。これは「ClickFix」クリップボード注入攻撃をトリガーします。
被害者は、無害に見える診断コマンドをWindowsの実行ダイアログまたはターミナルにコピーして貼り付けるよう指示されます。実際には、被害者は悪意のあるファイルレスPowerShellスクリプトをコピーしています。
この初期PowerShellコマンドは、コマンド・アンド・コントロール(C2)サーバーから難読化された二次スクリプトをダウンロードして実行します。
スクリプトはシステムのメモリに永続的なC2インプラントを確立し、攻撃者に侵害されたマシンへの継続的なアクセスを許可します。そこから、BlueNoroffオペレーターは一連のエクスプロイト後モジュールを迅速に展開します。
これらのモジュールの主な目的はデータを盗み、認証情報を収集することです。攻撃者はTelegram Desktopセッションを盗むスクリプトを展開し、被害者のメッセージングアカウントをハイジャックして新しいターゲットにアプローチできるようにします。
その直後、洗練されたブラウザ注入ペイロードが起動されます。このペイロードは、Chrome、Edge、Braveなどの実行中のChromiumベースのブラウザに直接AES暗号化シェルコードを注入します。
注入されたコードはブラウザセキュリティメカニズムをバイパスして、マスター暗号化キーを抽出し、保存された認証情報を復号化します。
スティーラーは、暗号資産ウォレット拡張機能、ログインデータ、およびブラウザ履歴を特に標的にしています。
認証情報盗取に加えて、マルウェアは被害者のデスクトップの高品質なスクリーンショットをキャプチャし、HTTPリクエスト経由で送信するか、カスタマイズされたTelegram Bot APIを通じて流出させます。
ほぼ半数のターゲットがCEOまたは創業者の肩書を持つことで、BlueNoroffの活動は、説得力のあるファイルレス攻撃チェーンを通じて暗号資産を盗むための正確なグローバル分布の取り組みを強調しています。
翻訳元: https://cyberpress.org/bluenoroff-fileless-powershell-campaign/
