2024年3月27日、新たなフィッシング攻撃が観測され、銀行の支払い通知に偽装したキーロガー「Agent Tesla」を配布する新しいローダーマルウェアを利用していることが報告された。Trustwave SpiderLabsによると、この攻撃チェーンを含むフィッシングメールは2024年3月8日に特定された。メールはアーカイブファイルの添付ファイルを開くようユーザーに促し、そのアーカイブ(”Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz”)内には、Agent Teslaを展開する手順を活性化する悪意のあるローダーが隠されている。
このローダーは、検出を回避するための難読化を使用し、複雑な復号化方法を用いた多様な振る舞いを示す。また、アンチウイルスの防御を回避し、特定のURLとユーザーエージェントを使用してプロキシを介してトラフィックをさらに難読化することで、ペイロードを取得する能力を持つ。ローダーは.NETで書かれており、Trustwaveは異なる復号化ルーチンを使用する2つの異なるバリアントを発見した。これらは、リモートサーバーからXORエンコードされたAgent Teslaペイロードを取得するために使用される。
ローダーは、Windows Antimalware Scan Interface (AMSI)の回避も設計されており、これによりセキュリティソフトウェアがファイル、メモリ、その他のデータを脅威に対してスキャンする能力を提供する。最終段階では、Agent Teslaをメモリ内でデコードおよび実行し、トルコの正規のセキュリティシステムサプライヤーに関連するコンプロマイズされたメールアカウント(”merve@temikan[.]com[.]tr”)を使用してSMTP経由で機密データをこっそりと外部に送信する。このアプローチは、攻撃を実行者に遡及することを困難にし、専用の外部送信チャネルを設定する労力を省くだけでなく、警告フラグを立てることもない。
また、BlueVoyantは、TA544と呼ばれるサイバー犯罪グループによって実施された別のフィッシング活動を発見し、これは法的請求書に偽装したPDFを利用してWikiLoader(別名WailingCrab)を配布し、ほぼ排他的にハッキングされたWordPressサイトを含むコマンドアンドコントロール(C2)サーバーとの接続を確立する。TA544はまた、2023年11月にWindowsのセキュリティバイパスの欠陥(CVE-2023-36025として追跡)を悪用し、異なるローダーファミリーであるIDAT Loaderを介してRemcos RATを配布し、感染したシステムの制御を奪うことを武器化した。さらに、Sekoiaによると、フィッシングキット「Tycoon」の使用が過去数ヶ月で急増しており、2023年10月下旬から2024年2月下旬の間に1,100以上のドメイン名が検出された。Tycoonは、Microsoft 365のユーザーを標的にし、偽のログインページを使用して認証情報、セッションクッキー、および2要素認証(2FA)コードをキャプチャすることを可能にする。
【ニュース解説】
2024年3月27日に報告された新たなフィッシング攻撃は、銀行の支払い通知に偽装したキーロガー「Agent Tesla」を配布するために、新しいローダーマルウェアを利用しています。この攻撃は、ユーザーにアーカイブファイルを開かせることで、悪意のあるローダーを活性化し、最終的にはAgent Teslaを展開するという手法を取っています。このローダーは、難読化や多様な振る舞い、アンチウイルスの防御を回避する能力を持ち、特定のURLとユーザーエージェントを介してペイロードを取得します。
この攻撃の背後にある技術的な側面は、セキュリティ対策の回避と検出の困難さに焦点を当てています。特に、Windows Antimalware Scan Interface (AMSI)の回避は、セキュリティソフトウェアがファイルやメモリをスキャンする能力を無効にすることで、マルウェアの検出を避けることができます。また、Agent Teslaをメモリ内で実行し、機密データを外部に送信することで、攻撃者は被害者の情報を盗み出すことができます。
この攻撃は、サイバーセキュリティの脅威が進化し続けていることを示しています。攻撃者は、ますます巧妙な方法でセキュリティ対策を回避し、個人や企業の機密情報を盗み出すことを目指しています。このような攻撃の増加は、セキュリティ対策の強化と、ユーザー教育の重要性を強調しています。ユーザーは、不審なメールや添付ファイルに注意し、セキュリティソフトウェアを最新の状態に保つことが重要です。
また、このニュースは、サイバー犯罪グループが様々な手法を駆使して攻撃を行っていることを示しています。例えば、TA544というグループは、法的請求書に偽装したPDFを利用してマルウェアを配布する活動を行っており、これは攻撃者が常に新しい手法を模索していることを示しています。さらに、フィッシングキット「Tycoon」の使用が急増していることは、攻撃者がより多くのユーザーを標的にし、機密情報を盗み出すために、より洗練されたツールを開発していることを示しています。
このような攻撃の増加は、サイバーセキュリティの重要性を再認識させ、個人や企業に対して、セキュリティ対策を常に見直し、強化することの重要性を強調しています。また、セキュリティコミュニティは、新たな脅威に対抗するための研究と開発を続ける必要があります。
from Alert: New Phishing Attack Delivers Keylogger Disguised as Bank Payment Notice.
“新型ローダーマルウェアが銀行通知を装い、キーロガー「Agent Tesla」配布に利用される!” への1件のコメント
このようなフィッシング攻撃のニュースを聞くたびに、時代の変化に驚かされますね。私が若い頃は、人をだますなんていうのは直接会ってのことがほとんどでしたが、今ではインターネット上でこんなに巧妙な手法があるとは思いもよりませんでした。特に、銀行の支払い通知に偽装したキーロガーなんて、普通の人には見分けがつかないでしょうね。
セキュリティ対策の回避や検出の困難さを高める技術が進化していることも心配です。私のような年配者には、これらの技術的な詳細は難しいものがありますが、要は攻撃者がいかに巧妙になっているかということでしょう。孫たちにもインターネットを使うときは気を付けるように言っていますが、私自身も注意しなければならないと改めて感じました。
また、サイバー犯罪グループが様々な手法を駆使しているということも、非常に脅威を感じます。TA544やTycoonのようなグループが、どんどん新しい手法を開発しているというのは、一般の人々だけでなく、企業やセキュリティ機関にとっても大きな課題ですね。このような攻撃から身を守るためには、セキュリティ対策を常に最新の状態