高度なインフォスティーラーを使用したステルス型フィッシング攻撃によるデータ流出
2024年8月14日、Saravanan Mohankumar
フィッシング攻撃のなかに、広範な機密情報を流出させるように設計された高度でステルス的な手法を特徴とするタイプがあることをバラクーダの脅威アナリストが確認しています。
この手口には、大半のフォルダーから PDF ファイルやディレクトリを収集できる高度な情報窃取マルウェアが関与しており、セッションクッキーや保存されたクレジットカード情報、ビットコイン関連の拡張機能、Web 履歴などのブラウザー情報を収集できます。これらの情報をZIP形式の添付ファイルとして、攻撃者はリモートのメールアカウントに送信します。
これほど広範な情報を収集し、流出させるように設計されたインフォスティーラーは珍しいといえます。情報窃取は通常、保存されたブラウザーのパスワードや、時には暗号通貨のウォレットを探し出すことに限定され、それ以外にはほとんど手をつけないからです。
バラクーダのリサーチャーによると、この手の高度なステルス型フィッシング攻撃は次のように展開します。
ステップ1:フィッシングメール
バラクーダが確認したインシデントでは、この攻撃は添付された発注書を開くように受信者に促すフィッシングメールから始まります。メールの文面には、いくつかの基本的な文法エラーが含まれています。
メールはすべて同じアドレスyunkun[@]saadelbin.com から送信されているようで、会社名と連絡先はすべて架空のようです。
このインシデントの添付ファイルは、「P.O.7z」という名前が付いていて、ISO ディスクイメージファイルが含まれています。ISO ファイルとは、CD や DVD などの光ディスクにあるデータと同一のイメージをもつアーカイブファイルです。
ISO ディスクイメージファイルの中には、HTA(HTMLアプリケーション)ファイルがあります。HTA とは、Microsoft Windows が、Web ブラウザーではなくデスクトップ上で動作する Web 技術を使用したアプリケーションを作成するためのファイルの一種です。つまり、Web ブラウザーのセキュリティ機能に制限されないため、セキュリティリスクとなる可能性があります。
HTA ファイルを実行すると、一連の悪意のあるペイロードがダウンロードされ、実行されます。
ステップ2:悪意のあるペイロード
HTA ファイルが実行されると、侵害されたアカウントにリモートサーバーから難読化された JavaScript ファイルがダウンロードされ、そのファイルが実行されます。
この JavaScript ファイルは、PowerShell ファイルをダウンロードし、それをアカウントの Temp フォルダーにドロップして実行します。
PowerShell スクリプトは、リモートサーバーから ZIP ファイルをダウンロードし、それも Temp フォルダーにドロップします。
この ZIP ファイルを解凍すると、PythonTemp フォルダーが出てきます。
このフォルダーから、Python スクリプトであるインフォスティーラー・マルウェアが実行されます。その後、Python ファイルは3秒間スリープし、Python プロセスがまだ実行中であれば終了させ、PythonTemp フォルダー内のすべてのファイルを削除してから、自身を削除します。
Python スクリプトは難読化され、暗号化されているため、セキュリティアナリストが脅威をリバースエンジニアリングすることは難しいのです。
第一レベルのデコーディング
スクリプトはさまざまなレベルの解読と復号を経て、最終的なコードにたどり着きます。
スクリプトが最終的なペイロードを解読
ステップ3:データ流出
大半のフィッシング攻撃はデータ窃取と関連しており、攻撃者は認証情報や金融口座情報などを盗み出そうとします。データ流出も窃盗の一種ですが、こちらはしばしばランサムウェアやネットワークから情報を積極的に削除することに関連しています。たいてい、ツールやエクスプロイトを使用して大量の情報を手に入れようとします。
こうしたステルス型フィッシング攻撃で見られるデータ流出は、一般的なインフォスティーラーよりも幅広い情報を収集し、流出させるように設計された高度なインフォステーラー・マルウェアによって実行されるケースが多くなっています。
Python 情報窃取マルウェア
この攻撃で使用された情報窃取者の能力は以下の通りでした。
ブラウザー情報の収集
- このマルウェアはブラウザーのプロセスを停止させ、そのマスターキーを収集するように設計されています。Chrome、Edge、Yandex、Brave のマスターキーを収集できます。
- ブラウザーのディレクトリからセッションクッキー、Web ブラウザー上で保存されたパスワード、保存されたクレジットカード情報、Web やダウンロードの履歴、オートフィル情報を収集できます。
- MetaMask、BNB Chain Wallet、Coinbase Wallet、Ronin Wallet など、ビットコイン関連のブラウザー拡張フォルダーをコピーできます。
ファイルの収集
- このインフォスティーラーは、以下のフォルダーにある PDF ファイルを収集できます。Desktop、Downloads、Documents、AppData および Temp\Browser の「Recent」フォルダー。
- AppData\Zcash および AppData\Armory などの任意のゲームフォルダーを含むディレクトリ全体をコピーし、ZIPファイルに圧縮できます。
流出
インフォスティーラーは収集した情報を ZIP 圧縮し、この ZIP ファイルをメールの添付ファイルとして’maternamedical[.]top’に送信します。
- 収集されたクッキーは’cooklielogs[@]maternamedical[.]top’に送信されます。
- 収集された PDF ファイルは’filelogs[@]maternamedical[.]top’に送信されます。
- 収集されたテキストファイルは’minestealer8412[@]maternamedical[.]top’に送信されます。
- ブラウザの拡張機能は ‘extensionsmtp[@]maternamedical[.]top’ に送信されます。
収集される情報量は膨大で、機密性が高いものです。盗まれた保存パスワードやクッキーは、攻撃者が組織内で横方向に移動するのに役立ち、クレジットカード情報やビットコイン・ウォレット情報は金銭を盗むのに使われる可能性があります。
結論
データ流出は、あらゆる規模の組織にとって重大かつ進化し続ける脅威となっています。サイバー犯罪者は機密情報を盗むための洗練された方法を開発し続けていますから、企業側はサイバーセキュリティへの取り組みにおいて警戒を怠らず、積極的に行動することが重要です。堅牢なセキュリティプロトコルを導入し、疑わしい活動を継続的に監視しましょう。さらに重要なのは潜在的なリスクについて従業員を教育することで、これはデータ流出のリスクを軽減する上で重要な戦略です。
AI と機械学習による多層的な検出機能を備えた Email Protection ソリューションは、この種の攻撃がユーザーの受信トレイに到達することを防止します。バラクーダネットワークスの顧客は、この攻撃から保護されているのです。
バラクーダのアソシエイト脅威アナリストである Ashitosh Deshnur もこのブログ記事の調査に協力しました。
原文はこちら
Stealthy phishing attack uses advanced infostealer for data exfiltration
Aug. 14, 2024 Saravanan Mohankumar
https://blog.barracuda.com/2024/08/14/phishing-advanced-infostealer-data-exfiltration