米国に拠点を置くサイバーセキュリティ企業 Proofpoint の新しいレポートでは、TA4557 と呼ばれる金銭目的の脅威アクターが実行した新しい攻撃キャンペーンが明らかにされており、金銭データの盗難リスクが高く、知的財産の盗難などのさらなるリスクもある可能性がある。
このソーシャルエンジニアリング攻撃では、脅威アクターは採用担当者を無害なコンテンツで標的にした後、そのマシンにMore_Eggsマルウェアを感染させます。この脅威アクターは、検出を回避するために細心の注意を払っています。
脅威アクターTA4557がリクルーターを標的にする方法
Proofpointが明らかにした脅威アクターTA4557による最新の攻撃キャンペーンは、採用担当者を標的としたダイレクトメールの送信を目的としています。同グループは、求人に関心を持つ個人を装っています(図A)。
図A
メールには悪意のあるコンテンツは含まれていません。採用担当者がメールに返信すると、攻撃者は個人の履歴書を装った、攻撃者が管理するウェブサイトへのリンクを返信します(図B)。
図B
脅威の攻撃者が使用する別の方法は、偽の履歴書の Web サイトにアクセスする手順が記載された PDF または Microsoft Office Word ファイルを採用担当者に返信することです。
感染するとMore_Eggsマルウェアが起動する
ウェブサイトは、攻撃の次の段階に進むべきかどうかを判断するためのフィルタリングメカニズムを採用しています。フィルタリングの基準を満たしていない場合、ユーザーにはプレーンテキストの履歴書が表示されます。フィルタリングチェックに合格した場合、ユーザーは候補者のウェブサイトにリダイレクトされ、CAPTCHAを解くように求められます。
完了すると、ユーザーにはMicrosoft Windowsのショートカット(LNK)ファイルを含むZIPファイルが提供されます。実行されると、このLNKファイルは正規のソフトウェアie4uinit.exeを悪用し、ie4uinit.infファイルに保存されている場所からスクリプトレットをダウンロードして実行します。「Living Off The Land(土地収奪型)」と呼ばれる手法は、既存の正規のソフトウェアやツールを利用してシステム上で悪意のあるアクションを実行するもので、検出される可能性を最小限に抑えます。
ダウンロードされたスクリプトレットは、DLLファイルを復号してドロップした後、Windows Management Instrumentation(WMI)を使用してDLLを実行するための新しいプロセスの作成を試み、失敗した場合はActiveXオブジェクトのRunメソッドを使用して別のアプローチを試みます。
DLLが実行されると、More_Eggsマルウェアと正規のMSXSL実行ファイルが復号されます。その後、WMIサービスを使用してMSXSLプロセスの作成を開始します。感染プロセスが完了すると、DLLは自身を削除します。
Proofpoint によると、More_Eggs は感染したシステムの永続化とプロファイリングを可能にするマルウェアであり、追加のペイロードをダウンロードするためにもよく使用されます。
慎重ながらも効率的な脅威アクター
TA4557 は、検出を回避して目立たないようにするためのさまざまな戦略を採用し、レーダーの下に留まるという取り組みを示しています。
2022年と2023年に発生した他の攻撃キャンペーンでは、脅威アクターは主に求人サイトの求人に応募するという異なる手法を用いていました。脅威アクターは悪意のあるURL、または悪意のあるURLを含むファイルを応募に使用していましたが、URLにはハイパーリンクが張られていなかったため、受信者はURLをブラウザに直接コピー&ペーストする必要がありました。この手法は、このようなリンクの使用によってセキュリティ警告がそれほど多くトリガーされない可能性が高いため、興味深いものです。Proofpointの研究者によると、TA4557は、新たに報告された手法と並行して、この手法を依然として使用しています。
さらに、この脅威の攻撃者は以前にも、リクルーターを装って求職者にアプローチする偽の LinkedIn プロフィールを作成していました。
LOTL 技術の使用は、脅威の実行者が慎重に行動して検出されないように努めていることを示しています。
脅威アクターが使用するDLLファイルは、サンドボックス対策および分析対策を巧妙に施しており、例えば、More_Eggsバックドアの解読に必要なRC4キーをゆっくりと取得しながら実行時間を延長するループを巧みに組み込んでいます。また、コードがサンドボックス内またはデバッグ環境で実行されているかどうかを確認するための複数のチェックも行われます。感染プロセスが完了すると、DLLは自身を削除し、存在の証拠を消去してインシデント分析を困難にします。
Proofpointは、TA4557を「熟練した、金銭目的の脅威アクター」と表現し、高度なソーシャルエンジニアリングを駆使しています。このグループは、送信元メールアドレス、偽の履歴書ドメイン、そしてインフラを定期的に変更しています。Proofpointは、同じ脅威アクターが2019年に米国の信用組合のマネーロンダリング対策担当者を標的にしたと推測しています。
世界的な観点から見ると、研究者は、有害なコンテンツを共有する前に、まず無害なコンテンツを使用してターゲットと交戦し、やり取り中に信頼関係を構築する脅威アクターが増加していることに気づきました。
このマルウェアの脅威から身を守る方法
TA4557はソーシャルエンジニアリングを駆使し、今回の攻撃キャンペーンでは採用担当者を標的としています。過去には、求職中の個人も標的にしていました。そのため、採用プロセスに関わるすべての人に対し、こうしたソーシャルエンジニアリングの手法について教育することが推奨されます。
疑わしいと思われる文書を開いたり、リンクをクリックしたりすることは絶対に避けてください。疑わしい場合は、IT部門に連絡し、文書やリンクの分析を依頼してください。
すべてのエンドポイントにセキュリティ ソリューションを導入し、アラートを慎重に分析する必要があります。
ソーシャル エンジニアリング ベースのキャンペーンを検出するには、URL や添付ファイルだけでなく、異常を検出できるセキュリティ ソリューションを使用して電子メールの内容を分析する必要があります。
一般的な脆弱性による侵害を回避するために、すべてのオペレーティング システムとソフトウェアを最新の状態に保ち、パッチを適用する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
