Last Updated on 2024-06-12 21:56 by 荒木 啓介
サイバーセキュリティ研究者は、採用や求職をテーマにした誘引を利用してWindowsベースのバックドア「WARMCOOKIE」を配布する進行中のフィッシングキャンペーンの詳細を公開した。WARMCOOKIEは、被害者ネットワークを偵察し、追加のペイロードを展開するために使用される初期段階のバックドアツールである。このバックドアは、感染したマシンの指紋を取得し、スクリーンショットをキャプチャし、さらに悪意のあるプログラムをドロップする機能を備えている。攻撃キャンペーンは、Hays、Michael Page、PageGroupなどの採用会社を装った電子メールメッセージを使用し、受信者に仕事の機会に関する詳細を見るために埋め込まれたリンクをクリックさせることから始まる。リンクをクリックしたユーザーは、CAPTCHAチャレンジを解決してドキュメントをダウンロードするよう促され、その後、JavaScriptファイルがドロップされる。このJavaScriptファイルはPowerShellを実行し、WARMCOOKIEのロードを開始する。キャンペーンでは、初期のフィッシングURLをホストするために侵害されたインフラストラクチャを使用し、被害者を適切なランディングページにリダイレクトする。WARMCOOKIEは、スケジュールされたタスクを使用して永続性を確立し、コア機能を起動するが、検出を回避するための一連のアンチアナリシスチェックを実行した後である。このバックドアは、製造、商業、および医療機関を対象とした以前のキャンペーンと関連するアーティファクトと同様の方法で感染したホストに関する情報をキャプチャするように設計されている。また、ファイルの読み書き、cmd.exeを使用したコマンドの実行、インストールされたアプリケーションのリストの取得、スクリーンショットの取得をサポートするコマンドもサポートしている。
Trustwave SpiderLabsは、請求書関連のデコイを使用し、HTMLコードに組み込まれたWindowsの検索機能を利用してマルウェアを配布する洗練されたフィッシングキャンペーンの詳細を明らかにした。電子メールメッセージには、HTMLファイルを含むZIPアーカイブが添付されており、このHTMLファイルはレガシーWindowsの「search:」URIプロトコルハンドラを使用して、Windowsエクスプローラーでリモートサーバーにホストされているショートカット(LNK)ファイルをローカル検索結果のように表示する。このLNKファイルは、ユーザーがクリックすると追加の悪意のある操作をトリガーする可能性があるバッチスクリプト(BAT)を指している。Trellixは2023年7月にsearch-ms:およびsearch:をマルウェア配布ベクトルとしての悪用を文書化している。この攻撃はマルウェアの自動インストールを利用していないが、ユーザーが様々なプロンプトやクリックに関与することを要求する。しかし、この技術は攻撃者の真の意図を巧妙に隠し、ユーザーが馴染みのあるインターフェースや電子メール添付ファイルを開くなどの一般的な行動に対する信頼を悪用する。
【ニュース解説】
サイバーセキュリティの研究者たちは、最近、求職者をターゲットにした新たなフィッシングキャンペーンを発見しました。このキャンペーンでは、採用や求職をテーマにした誘引を使って、Windowsベースのバックドア「WARMCOOKIE」を配布しています。WARMCOOKIEは、被害者のネットワークを偵察し、追加の悪意あるプログラムを展開するために使用される初期段階のツールです。このバックドアは、感染したマシンの情報を収集し、スクリーンショットを取得し、さらに悪意のあるプログラムを配布する能力を持っています。
攻撃キャンペーンは、Hays、Michael Page、PageGroupなどの採用会社を装った電子メールを使い、受信者に仕事の機会に関する詳細を見るためにリンクをクリックさせることから始まります。リンクをクリックしたユーザーは、CAPTCHAチャレンジを解決してドキュメントをダウンロードするよう促され、その後、JavaScriptファイルがドロップされます。このJavaScriptファイルはPowerShellを実行し、WARMCOOKIEのロードを開始します。
また、Trustwave SpiderLabsによって詳細が明らかにされた別のフィッシングキャンペーンでは、請求書関連のデコイとWindowsの検索機能を利用してマルウェアを配布しています。この技術は、攻撃者の真の意図を隠し、ユーザーが馴染みのあるインターフェースや一般的な行動に対する信頼を悪用します。
これらのキャンペーンは、サイバーセキュリティの脅威がどのように進化し続けているかを示しています。特に、WARMCOOKIEのようなバックドアは、攻撃者が被害者のネットワーク内でさらに悪意ある活動を行うための足がかりを提供します。これは、組織や個人が自身のサイバーセキュリティ対策を強化することの重要性を強調しています。
ポジティブな側面としては、これらの攻撃の発見と分析が、サイバーセキュリティコミュニティに貴重な情報を提供し、将来の攻撃を防ぐための対策を講じる機会を与えることです。しかし、潜在的なリスクとしては、これらの攻撃が成功した場合、機密情報の漏洩やシステムの損害など、重大な結果を招く可能性があります。
規制に与える影響としては、このような攻撃の増加が、サイバーセキュリティ基準や法規制の強化を促す可能性があります。また、企業や組織は、サイバーセキュリティ対策の強化だけでなく、従業員教育を通じてフィッシング攻撃の認識を高める必要があるでしょう。
将来への影響としては、サイバーセキュリティの脅威がますます高度化し、多様化することが予想されます。これに対抗するためには、技術的な対策だけでなく、人的な側面からもアプローチすることが重要です。サイバーセキュリティ教育の普及や、従業員のセキュリティ意識の向上が、これらの脅威に対抗する鍵となるでしょう。
from New Phishing Campaign Deploys WARMCOOKIE Backdoor Targeting Job Seekers.
