ロシアの脅威アクターが運営するキャンペーンは、偽の求人情報を使用して、仮想通貨業界で働く東ヨーロッパ人を標的にし、「エニグマ」と名付けられた Stealerium マルウェアの修正版に感染させることを目的としています。
悪意のあるアクティビティを追跡しているトレンド マイクロによると、攻撃者は、Microsoft Defender のトークンの整合性を低下させ、保護をバイパスするために、古い Intel ドライバーの欠陥を悪用する一連の高度に難読化されたローダーを使用しています。
ターゲットを絞った被害者
攻撃は、ターゲットをおびき寄せるために、偽の仮想通貨の面接を含む求人を装った電子メールから始まります。電子メールには、TXT (「インタビューの質問.txt」) と実行可能ファイル (「インタビューの条件.word.exe」) を含む RAR アーカイブが添付されています。
テキスト ファイルには、キリル文字で書かれたインタビューの質問が含まれており、標準的な形式に従っており、正当に見えるように作られています。
被害者がだまされて実行可能ファイルを起動すると、一連のペイロードが実行され、最終的に Telegram から Enigma 情報を盗むマルウェアがダウンロードされます。
第 1 段階のダウンローダは C++ ツールであり、API ハッシュ、文字列の暗号化、無関係なコードなどの手法を使用して検出を回避し、第 2 段階のペイロード「UpdateTask.dll」をダウンロードして起動します。
同じく C++ で記述された第 2 段階のペイロードは、「Bring Your Own Vulnerable Driver」(BYOVD) 手法を使用して、CVE-2015-2291 Intel の脆弱性を悪用します。この Intel ドライバの欠陥により、コマンドがカーネル権限で実行される可能性があります。
攻撃者はこの脆弱性を悪用して、マルウェアが 3 番目のペイロードをダウンロードする前に Microsoft Defender を無効にします。
第 3 段階では、プライベート テレグラム チャネルから最終的なペイロードである Enigma Stealer をダウンロードします。Trend Micro によると、これはオープンソースの情報盗用マルウェアである Stealerium の修正版です。
Enigma は、Google Chrome、Microsoft Edge、Opera などの Web ブラウザに保存されているシステム情報、トークン、パスワードを標的にしています。さらに、Microsoft Outlook、Telegram、Signal、OpenVPN、およびその他のアプリに保存されているデータを標的にしています。
Enigma は、侵害されたシステムからスクリーンショットをキャプチャし、クリップボードのコンテンツまたは VPN 構成を抽出することもできます。
最後に、盗まれたデータはすべて ZIP アーカイブ (「Data.zip」) に圧縮され、Telegram を介して攻撃者に送り返されます。
Web ブラウザーのパスや Geolocation API サービスの URL などの Enigma の文字列の一部は、暗号ブロック連鎖 (CBC) モードで AES アルゴリズムを使用して暗号化され、データを隠し、不正アクセスや改ざんを防止する可能性があります。
帰属
トレンドマイクロは、強い自信を持って帰属を割り当てていませんが、ロシアの攻撃者が攻撃の背後にいることを示す可能性のあるいくつかの要素を発見しました.
最初の手がかりは、アクティブな感染の実行フローを追跡するためにこのキャンペーンで使用されたロギング サーバーの 1 つが、ロシアのサイバー犯罪フォーラムで非常に人気のある Amadey C2 パネルをホストしていることです。
第二に、サーバーは「デニスカ」を実行します。これは、ロシア語を話すフォーラムでのみ参照される専用の Linux システムです。
最後に、サーバーのデフォルトのタイム ゾーンはモスクワに設定されています。これは、攻撃者がロシア人であることを示すもう 1 つの指標です。
北朝鮮の脅威アクターが、 フィンテック業界で働く人々を対象に、偽の求人情報を宣伝するキャンペーンを展開することは、より一般的です。したがって、ロシア人がこのテーマを採用するのを見るのは興味深い展開です。
Comments