バラクーダネットワークス、進化したインフォスティーラー(情報窃取マルウェア)を使用した、ステルス型のフィッシング攻撃によるデータ流出を確認
2024年8月14日、Saravanan Mohankumar
バラクーダネットワークス(以下「バラクーダ」)の脅威アナリストは、広範な機密情報を流出させるために設計された、高度かつステルス化された手法を特徴とするフィッシング攻撃を確認しました。
この手口には、大半のフォルダからPDFファイルやディレクトリを収集するだけでなく、セッションCookie、保存されたクレジットカード情報、暗号資産関連の拡張機能、ウェブ履歴などのブラウザ情報をも収集することができる高度なインフォスティーラー(情報窃取マルウェア)が使用されており、攻撃者は窃取した情報をZip形式の添付ファイルとしてリモートの電子メールアカウントに送信します。
これほど広範な情報を収集し、流出させるように設計されたインフォスティーラーを目の当たりにするのは珍しいことです。通常、インフォスティーラーは保存されたブラウザパスワードや、時には暗号資産ウォレットをターゲットとしていますが、それ以外はほとんど対象としていません。
バラクーダの研究者によると、攻撃は次のように展開されます。
ステップ1:フィッシングメール
バラクーダが確認したインシデントでは、受信者に添付された発注書を開くように促すフィッシングメールが送られることから攻撃が始まります。このメールには、基本的な文法の誤りが複数含まれています。
すべてメールは、同じアドレス「yunkun[@]saadelbin.com」から送付されており、会社名と連絡先はすべて架空のものだと見受けられます。
バラクーダが確認した例では、「P.O.7z」という名称の添付ファイルには、ISOイメージファイルが含まれています。ISOファイルは、CDやDVDなどの光ディスクにあるデータの同一のイメージを含むアーカイブファイルです。
ISOディスクイメージファイルの中には、HTA(HTMLアプリケーション)ファイルがあります。HTAは、Microsoft Windowsが、ウェブブラウザではなくデスクトップ上で動作するウェブ技術を使ったアプリケーションを作成するために使用されるファイルの一種です。つまり、HTAファイルはウェブブラウザのセキュリティー機能の制限を受けないため、セキュリティー上のリスクがあります。
HTAファイルを実行すると、一連の悪意のあるペイロードがダウンロードされ実行されます。
ステップ2:悪意のあるペイロード
HTAファイルが実行されると、侵害されたアカウントにリモートサーバーから難読化されたJavaScriptファイルがダウンロードされ、ファイルが実行されます。
このJavaScriptファイルは、PowerShellファイルをダウンロードし、アカウントの「Temp」フォルダにドロップして実行します。
PowerShellスクリプトは、リモートサーバーからZipファイルをダウンロードしTempフォルダにドロップします。
このZipファイルは、「PythonTemp」フォルダに解凍されます。
このフォルダから、Pythonスクリプトであるインフォスティーラーマルウェアが実行されます。その後、Pythonファイルは3秒間スリープし、Pythonプロセスがまだ実行中であれば終了させ、PythonTempフォルダ内のすべてのファイルを削除してから、自身を消去します。
Pythonスクリプトは難読化、暗号化されているため、セキュリティアナリストが脅威をリバースエンジニアリングすることは困難です。
第一段階 デコーディング
スクリプトは、さまざまな段階の解読と復号を経て、最終的なコードにたどり着きます。
スクリプトは最終的なペイロードを解読
ステップ3:データ流出
フィッシング攻撃の多くはデータ窃取と関連しており、攻撃者は認証情報や金融口座の詳細などを盗み出そうとします。データ流出もデータ窃盗を目的として行われる行為の一種ですが、多くの場合、ランサムウェアやツールやエクスプロイトによって大量の情報を特定のネットワークから積極的に削除することに関連しています。
これらの攻撃では、一般的なインフォスティーラーよりも幅広い情報を収集し、流出させるように設計された高度なインフォスティーラーを利用してデータの漏洩・窃盗が行われています。
Pythonインフォスティーラーマルウェア
この攻撃で使われたインフォスティーラーの機能は以下の通りです:
ブラウザ情報の収集
- このマルウェアは、ブラウザのプロセスを停止させ、マスターキーを収集するように設計されており、Chrome、Edge、Yandex、Braveのマスターキーを収集することができます
- また、ブラウザディレクトリからセッションCookieを、ウェブブラウザから保存されたパスワードを収集することに加え、保存されたクレジットカード情報、ウェブ履歴、ダウンロード履歴、オートフィル情報を収集することができます
- また、MetaMask、BNB Chain Wallet、Coinbase Wallet、Ronin Walletなど、暗号資産関連のブラウザの拡張フォルダをコピーすることもできます
ファイルの収集
- インフォスティーラーは、以下のフォルダにあるPDFファイルを収集しようとします:デスクトップ、ダウンロード、ドキュメント、AppDataフォルダ内のRecentフォルダ、Tempフォルダ内のBrowserフォルダ
- AppDataフォルダ内のZcash、AppDataフォルダ内のArmory、任意のゲームフォルダを含むディレクトリ全体をコピーし、圧縮することができます
流出
インフォスティーラーは、収集した情報をZipファイルとして圧縮し、このZipファイルを電子メールの添付ファイルとして「maternamedical[.]top」に送ります
- 収集されたクッキーは、「cooklielogs[@]maternamedical[.]top」に送信されます
- 収集されたPDFファイルは、「filelogs[@]maternamedical[.]top」に送られます
- 収集されたテキストファイルは、「minestealer8412[@]maternamedical[.]top」に送信されます
- ブラウザの拡張機能は、「extensionsmtp[@]maternamedical[.]top」に送信されます
収集される情報の量は膨大で、機密性が高いものです。盗まれた保存パスワードやクッキーは、攻撃者が組織内で横方向に移動するのに役立ち、クレジットカード情報や暗号資産ウォレット情報は金銭を盗むのに使われる可能性があります。
結論
データの流出は、あらゆる規模の組織にとって重大かつ進化し続ける脅威となっています。サイバー犯罪者が機密情報を盗むための高度な方法を開発し続けているため、企業はサイバーセキュリティへの取り組みにおいて警戒を怠らず、積極的に行動することが重要です。堅牢なセキュリティ・プロトコルを導入し、疑わしい活動を継続的に監視し、さらに重要なこととして、潜在的なリスクについて従業員を教育することがデータ流出のリスクを軽減するためには、重要な戦略となります。
AIと機械学習を活用した多層的な検出機能を備えたメールプロテクションソリューションは、この種の攻撃がユーザの受信トレイに到達することを防止します。バラクーダのお客様は、こうした攻撃から保護されています。
バラクーダのアソシエイト脅威アナリストであるアシュト—シュ・デシュナ(Ashitosh Deshnur)も、本ブログ記事の調査に協力しています。
原文はこちら
Stealthy phishing attack uses advanced infostealer for data exfiltration
Aug. 14, 2024 Saravanan Mohankumar
https://blog.barracuda.com/2024/08/14/phishing-advanced-infostealer-data-exfiltration