マイクロソフトは、航空会社や旅行会社を標的としたスピアフィッシング攻撃が継続的に行われており、新しいステルス性の高いマルウェアローダーを使用して展開される複数のリモートアクセストロイの木馬(RATs : Remote access trojans)について警告しています。
マイクロソフトは、「過去数カ月間、航空宇宙や旅行業界をターゲットにした大規模な攻撃を捕捉しています。この攻撃では新たに開発されたダウンローダーを配布し、RevengeRATやAsyncRATを配信するスピアフィッシングメールを使用しています。
攻撃者のフィッシングメールは、正規の組織になりすまし、航空・旅行・貨物などの複数の産業分野に関連する情報を含むPDF文書を装ったメールテンプレートを使用しています。
マイクロソフトがこの攻撃を把握してから、攻撃者の最終目標はRATs : Remote access trojansのリモートコントロール、キーロギング、パスワードの盗用機能を使用して、感染したデバイスからデータを採取することです。
このマルウェアが導入されると「認証情報、スクリーンショットやウェブカメラのデータ、ブラウザやクリップボードのデータ、システムやネットワークに侵入し、SMTPポート587を経由してデータを盗み出す」ことが可能になります。
検出されないように設計されたRATローダー
新たに発見されたRATローダーはCrypter-as-a-Serviceモデルで収益化されており、Morphisec社のマルウェアアナリストはSnip3と名付けているものです。このRATローダーは感染したシステムにRevenge RAT、AsyncRAT、Agent Tesla、NetWire RATなどの悪意のあるマルウェアを投下するために使用されています。
https://blog.morphisec.com/revealing-the-snip3-crypter-a-highly-evasive-rat-loader
フィッシングメッセージに埋め込まれた正規のWebサービスに似せたURLリンクは、第1段階のVBScript VBSファイルをダウンロードし、第2段階のPowerShellスクリプトを実行、さらにプロセスホロイング(Process Hollowing)を利用して最終的なRATペイロードを実行します。
Morphisec社によれば、Snip3にはサンドボックスや仮想環境を識別する機能が備わっており検知を重視したアンチマルウェア・ソリューションを回避する能力が特に高いとのことです。
検出を回避するために、このマルウェアローダーは、以下のような追加のテクニックを使用しています。
- 「remotesigned」パラメータを使用したPowerShellコードの実行
- ステージングにPastebinとtop4topを使用
- ランタイムにエンドポイントでRunPEローダーをコンパイル
ユーザはMicrosoft 365 Defenderの高度なハンティング機能を使用したサンプルクエリを使用して、この進行中のフィッシングキャンペーンに関連する同様の疑わしい行動を見つけ出し、調査することができます。
アドバンスト・ハンティング・クエリが発見できる潜在的な悪意のあるアクティビティの中には、以下のようなものがあり、これらの検出に役立ちます。
- Snip3通信プロトコル
- Snip3によるRegAsm、RegSvcs、InstallUtilの悪質な利用(コマンドアンドコントロールや不正侵入に使用するプロセスが空いている可能性があります。
- Snip3のローダーでエンコードされたPowerShellコマンド(UTF8エンコードで難読化されている)
- Snip3ローダーによるDetectSandboxie関数の呼び出し(RevengeRATおよびAsyncRATインスタンスで使用されている)
- 2021年4月と5月のSnip3攻撃メールに関連するキーワード
マルウェアサンプルのハッシュやRATのコマンド&コントロールドメインなど、このスピアフィッシング攻撃に関連する指標はMorphisec社のSnip3レポートの最後に記載されています。
コメント