国家的なハッカー集団であるOceanLotusは、ウェブアーカイブファイル形式(.MHTおよび.MHTML)を使用して、侵入したシステムにバックドアを導入していることがわかりました。
Netskope Threat Labsは現在、Web Page Archiveファイル(「.mht」または「.mhtml」)を使用して感染した文書を配信し、最終的にC2通信にGlitchを使用するバックドアを展開する悪質な攻撃を追跡しています。
この攻撃はMicrosoft Wordが拡張子「.doc」を使用しても「.mht」形式のドキュメントを開くことができるため、効果的なものとなっています。
その目的は、被害者がMicrosoft Officeで悪意のあるドキュメントファイルを開くことを阻止するアンチウイルスソリューションツールによる検出を回避することにあります。
また、APT32やSeaLotusとして追跡されているこのハッカーは、過去にマルウェアを展開するために一般的ではない方法を試す傾向があることがわかっています。
Netskope Threat Labsが共有したレポートによると、OceanLotusのWebアーカイブファイルを使用した攻撃は、標的範囲が狭く、コマンド&コントロール(C2)サーバーが破壊されたにもかかわらず、依然として有効であると指摘しています。
信頼できるRARからWordマクロまで
攻撃は、悪意のあるWord文書を含む35~65MBの大きなウェブアーカイブファイルをRAR圧縮するところから開始されます
Microsoft Officeの保護を回避するため、攻撃者はファイルのメタデータのZoneIDプロパティを「2」に設定し、あたかも信頼できるソースからダウンロードされたように見せかけます。
ウェブアーカイブファイルをMicrosoft Wordで開くと、感染した文書が被害者に「コンテンツを有効にする」よう促し、悪意のあるVBAマクロコードを実行します。
このスクリプトは、感染したマシン上で以下の作業を行います。
- ペイロードを “C:guest.bmp “にコピー
- おとり文書 “Document.doc “を作成し、表示
- ペイロードを “guest.bmp” から “background.dll” にリネーム
- SaveProfile “または “OpenProfile “エクスポート関数を呼び出してDLLを実行
- ペイロードが実行された後、VBAコードは元のWordファイルを削除し、被害者に偽のエラーを提供するおとり文書を開く
バックドアはGlitchホスティングサービスを使用
ペイロードは64ビットのDLLで、WinRARのアップデートチェックを装ったスケジュールタスクにより、10分ごとに実行されます。
バックドアは、検知を回避するためにシステムメモリ内で無期限に実行されるrundll32.exeプロセスに注入されると、Netskopeは技術レポートで指摘しています。
マルウェアは、ネットワークアダプタの情報、コンピュータ名、ユーザ名を収集し、システムのディレクトリとファイルを列挙し、実行中のプロセスのリストをチェックします。
これらの基本データを収集すると、バックドアはすべてを1つのパッケージにまとめ、内容を暗号化してからC2サーバに送信します。
このサーバは、悪意のある目的に頻繁に悪用されるクラウドホスティングとWeb開発のコラボレーションサービスであるGlitchでホストされています。
C2通信に正規のクラウドホスティングサービスを利用することで、ネットワークトラフィック監視ツールを導入しても検知される可能性をさらに低くしています。
Glitchは、Netskopeの研究者が特定し報告したC2 URLを削除しましたが、これによってAPT32が別のアカウントを使用して新しいC2 URLを作成するのを止めることはできないものと思われます。
この攻撃の侵害の指標(IOC)の完全リストについては、このGitHubリポジトリを確認してください。
Comments