アラブ首長国連邦の航空、衛星通信、および重要な輸送機関に対する攻撃で、これまで文書化されていなかったポリグロットのマルウェアが展開されている。
このマルウェアはSosanoと呼ばれるバックドアを提供し、感染したデバイス上で永続性を確立し、攻撃者がリモートでコマンドを実行できるようにします。
この活動は2024年10月にProofpointによって発見され、この攻撃は「UNK_CraftyCamel」という名前の脅威アクターに関連しているとしている。このキャンペーンはまだ小規模ではあるものの、研究者は、標的となった企業にとっては高度で危険なものであると報告している。
プルーフポイントの研究者は、この攻撃はイラン系グループTA451およびTA455の作戦と類似していると指摘している。しかし、最新のキャンペーンは、強力なサイバースパイ行為に重点を置いており、一線を画している。
ポリグロットの脅威
ポリグロット型マルウェアは、複数のファイル形式を含む特別に細工されたファイルで構成されており、さまざまなアプリケーションで異なる解釈ができるようになっている。
例えば、1つのファイルを有効なMSI(Windowsインストーラ)とJAR(Javaアーカイブ)の両方として構造化することで、WindowsはMSIとして認識し、JavaランタイムはJARとして解釈します。
この手法により、攻撃者は、通常単一のフォーマットに基づいてファイルを分析するセキュリティソフトウェアを回避して、悪意のあるペイロードをこっそりと配信することができます。
Proofpointが観測した新しいキャンペーンでは、攻撃は、侵害されたインドの電子機器会社(INDIC Electronics)から送信される高度に標的化されたスピアフィッシングメールから始まります。
これらのメールには、被害者を偽装ドメイン(indicelectronics[.]net)に誘導する悪意のあるURLが含まれており、被害者はそこでZIPアーカイブ(「OrderList.zip」)をダウンロードするよう促されます。
このアーカイブには、XLSを装ったLNK(Windowsショートカット)ファイルと、2つのPDFファイル(「about-indic.pdf」と「electronica-2024.pdf」)が含まれています。どちらのPDFも、正規のPDFファイル構造を含むポリグロットファイルですが、さらに悪意のあるファイル構造を含んでいます。
最初のPDFはHTA(HTMLアプリケーション)コードを含み、もう一方は隠されたZIPアーカイブを含んでいます。
ソースはこちら:Proofpoint
ポリグロットを使用する主な利点は回避であり、ほとんどのセキュリティツールは、良性の文書である最初のファイル形式(PDF)を検査し、悪意のある隠し部分(HTA/ZIPペイロード)を完全に無視します。
ソースはこちら:プルーフポイント
LNKファイルを実行すると、cmd.exeはmshta.exeを起動し、1つ目のPDF内に隠されたHTAスクリプトを実行し、2つ目のPDFファイルの起動をトリガーします。
2つ目のPDF内の隠しアーカイブは、永続化のためにWindowsレジストリにURLファイルを書き込み、SosanoバックドアであるDLLペイロード(“yourdllfinal.dll”)をデコードするXORエンコードされたJPEGファイルを実行します。
ソースプルーフポイント
Proofpoint によると、Sosano は比較的単純な Go ベースのペイロードで、限られた機能しか備えておらず、少量の悪意のあるコードを難読化するためにサイズが 12MB に肥大化した可能性が高いとのことです。
起動すると、Sonaso は “bokhoreshonline[.]com” にあるコマンド・アンド・コントロール(C2)サーバーとの接続を確立し、ファイル操作、シェルコマンドの実行、追加ペイロードの取得と起動などのコマンドを待ち受けます。
ポリグロットの脅威に対する防御には、電子メールのスキャン、ユーザー教育、1つのファイルで複数のファイル形式を検出できるセキュリティソフトウェアを組み合わせた多面的なアプローチが必要です。
日常業務で必要ない場合は、メールゲートウェイでLNK、HTA、ZIPなどの危険なファイル形式をブロックすることが賢明です。
Comments