Last Updated on 2024-05-22 00:52 by 荒木 啓介
ロシアにリンクされた高度な持続的脅威(APT)グループが、社会工学的なメールを利用してTinyTurlaバックドアをファイルレスのペイロードとして配信するキャンペーンを展開している。このキャンペーンでは、人権セミナーへの招待や公共の通知に関連する文書を装ったPDFやMSBuildプロジェクトファイルが悪用されている。Cyble Researchers and Intelligence Labs(CRIL)の研究者たちは、このキャンペーンがフィリピンの個人や団体を標的としていることを特定した。
攻撃者は、正当な機関を装って被害者を誘い込む手法を採用している。被害者がこれを正当な招待や通知と誤認し、開くと、システムに小さなバックドアが密かにインストールされる。攻撃者はこのバックドアを使用して、自らが制御するコマンド&コントロール(C2)サーバーからコマンドを実行し、被害者のシステムに侵入する。
このキャンペーンは、攻撃者が.LNKファイル内にPDFとMSBuildプロジェクトファイルを埋め込むことで、「シームレスな実行」を実現することにより、攻撃者の洗練度を示している。攻撃者は、Microsoft Build Engine(MSBuild)を使用してプロジェクトファイルを実行し、目立たない、ファイルレスの最終ペイロードを配信する。
TinyTurlaバックドアは、通常、ウクライナを支援する団体とのつながりを持つNGOを標的とする、長期にわたるロシア支援の脅威アクター、Turlaにリンクされている。研究者たちは、観察されたコード、メールの内容、およびその他の戦術から、この悪意のある活動の背後にTurlaがいると考えている。
キャンペーンは、人権セミナーへの招待やフィリピン統計局を装った公共の通知を含むスパムメールから始まる。被害者が実際には悪意のある.LNKファイルである文書をクリックすると、その中に埋め込まれたPowerShellスクリプトが実行され、一連の操作が開始される。これには、.LNKファイルの内容を読み取り、それを3つの異なるファイル(誘引用のPDF、暗号化されたデータ、カスタムMSBuildプロジェクト)に書き込む作業が含まれる。MSBuildプロジェクトは実行され、誘引文書を開く。
TinyTurlaは、特定のタスクを実行するために設計された複数のスレッドを使用して操作を管理する。これにより、攻撃者は被害者のマシン上でコマンドを実行したり、C2サーバーからファイルをダウンロードして被害者のマシン上に保存したり、被害者のマシンからファイルをC2サーバーに送信したりすることができる。
このキャンペーンの擬似的なファイルの偽装とシームレスな展開ルーチンにより、検出が困難になっているが、強力なメールフィルタリングシステムの導入や、未知の送信者からのメール添付ファイルやリンクを扱う際の注意喚起などにより、侵害を避ける方法がいくつか提案されている。
【ニュース解説】
ロシアにリンクされた高度な持続的脅威(APT)グループ、Turlaが、社会工学的メールを駆使してTinyTurlaバックドアをファイルレスのペイロードとして配信する新たなキャンペーンを展開しています。このキャンペーンでは、人権セミナーへの招待や公共の通知を装ったPDFやMSBuildプロジェクトファイルが悪用され、フィリピンの個人や団体を標的にしています。
攻撃者は、正当な機関を装って被害者を誘い込む手法を採用し、被害者がこれを正当な招待や通知と誤認し、開くと、システムに小さなバックドアが密かにインストールされます。このバックドアを通じて、攻撃者は自らが制御するコマンド&コントロール(C2)サーバーからコマンドを実行し、被害者のシステムに侵入することが可能になります。
このキャンペーンの特徴は、攻撃者が.LNKファイル内にPDFとMSBuildプロジェクトファイルを埋め込み、「シームレスな実行」を実現している点にあります。Microsoft Build Engine(MSBuild)を使用してプロジェクトファイルを実行し、目立たない、ファイルレスの最終ペイロードを配信する手法は、攻撃者の技術的な洗練度を示しています。
TinyTurlaバックドアは、特にウクライナを支援する団体とのつながりを持つNGOを標的とする、長期にわたるロシア支援の脅威アクター、Turlaにリンクされています。このキャンペーンにおける観察されたコード、メールの内容、およびその他の戦術から、この悪意のある活動の背後にTurlaがいると考えられています。
このキャンペーンの擬似的なファイルの偽装とシームレスな展開ルーチンにより、検出が困難になっていますが、強力なメールフィルタリングシステムの導入や、未知の送信者からのメール添付ファイルやリンクを扱う際の注意喚起などにより、侵害を避ける方法が提案されています。
このキャンペーンは、サイバー諜報活動のためのアクセスを確立するために、社会工学的手法と技術的洗練を組み合わせた攻撃の一例です。このような攻撃は、個人や組織が常に警戒し、セキュリティ対策を講じる必要があることを示しています。また、APTグループによる攻撃の進化は、サイバーセキュリティの専門家にとって、常に新しい防御手法を開発し、適用することの重要性を強調しています。
from Russia's Turla APT Abuses MSBuild to Deliver TinyTurla Backdoor.
