Last Updated on 2024-07-11 04:49 by admin
未確認の攻撃者が、スペイン語圏のユーザーをターゲットに、悪意のあるGoogle Driveリンクを介して拡散する新種のクレデンシャル収集型リモートアクセストロイの木馬(RAT)「Poco RAT」を拡散しています。このマルウェアは、主にラテンアメリカの鉱業および製造業セクターを狙っており、Poco RATは人気のあるPOCO C++ライブラリを利用することで検出を回避しています。
Poco RATは、電子メールキャンペーンを通じて拡散され、最初にラテンアメリカのある鉱業会社に大量のメールが送信されました。この会社はキャンペーンのメールの67%を受信しました。その後、製造業、ホスピタリティ業、公益事業など他の組織にもターゲットが広がっています。メールの件名と本文はスペイン語で、請求書などの財務に関連するテーマを使ってユーザーを誘います。
攻撃者は、Google Drive上にホストされた7zipアーカイブへの直接リンク、悪意のあるHTMLファイルを介したダウンロードリンク、またはPDFファイルを添付して7zipアーカイブをダウンロードさせるなど、3つの方法でPoco RATを配布しています。
Poco RATは、分析を回避するためにカスタムビルドされ、コマンドアンドコントロールサーバー(C2)と通信し、ファイルをダウンロードして実行することに特化しています。これまでに、環境の監視、クレデンシャルの収集、ランサムウェアの配信などに使用されています。実行時には、通常、レジストリキーを介して永続性を確立し、正当なプロセスgrpconv.exeを起動します。
Poco RATは、Google Driveリンクを使用して電子メールのセキュリティを回避するとともに、POCO C++ライブラリに依存しており、これにより独自のコードやあまり使用されていないライブラリを使用するよりも検出されにくくなっています。
Poco RATの検出と軽減のためには、Google Driveリンクの使用に焦点を当てることが重要です。Cofenseは、C2アドレス94.131.119.126へのすべてのネットワークトラフィックをブロックおよび追跡することを推奨しており、これによりPoco RATの現在知られているすべてのインスタンスを検出し停止することができます。
【ニュース解説】
ラテンアメリカの鉱業および製造業セクターを中心に、スペイン語圏のユーザーをターゲットにした新種のマルウェア「Poco RAT」が出現しています。このマルウェアは、悪意のあるGoogle Driveリンクを介して拡散され、特にある鉱業会社に多くのメールが送信されたことから注目を集めました。Poco RATは、POCO C++ライブラリを利用することで検出を回避し、環境の監視、クレデンシャルの収集、ランサムウェアの配信などの悪意ある活動を行います。
このマルウェアの拡散方法は、電子メールキャンペーンを通じており、メールの件名や本文はスペイン語で財務に関連するテーマが使われています。攻撃者は、Google Drive上にホストされた7zipアーカイブへの直接リンク、悪意のあるHTMLファイル、またはPDFファイルを介してマルウェアを配布しています。
Poco RATの特徴として、分析を回避するためにカスタムビルドされている点、コマンドアンドコントロールサーバー(C2)との通信、ファイルのダウンロードと実行に特化している点が挙げられます。また、実行時にはレジストリキーを介して永続性を確立し、正当なプロセスgrpconv.exeを起動することで、さらに検出を困難にしています。
Poco RATの検出と軽減には、Google Driveリンクの使用に焦点を当てることが重要です。特に、C2アドレスへのすべてのネットワークトラフィックをブロックおよび追跡することで、現在知られているすべてのインスタンスを検出し停止することが可能です。また、攻撃者が将来異なるC2に切り替えた場合に備え、grpconv.exeの実行を警告するように防御を設定することも有効です。
このマルウェアの出現は、企業がセキュリティ対策を常に更新し、従業員を教育することの重要性を再確認させます。特に、正規のファイルホスティングサービスを悪用する手法は、セキュリティゲートウェイを容易に回避できるため、企業はこれらの手法に対する防御策を強化する必要があります。また、Poco RATのようなマルウェアは、組織内の情報を盗み出すだけでなく、ランサムウェアの配信などさらなる攻撃への足掛かりとなるため、早期の検出と対応が不可欠です。