スペイン語圏を狙う新型フィッシング攻撃、Poco RATが業界を脅かす

2024年7月12日3:52

Last Updated on 2024-07-12 05:27 by admin

スペイン語を話す被害者を狙った新しいフィッシングキャンペーンが、2024年2月以降、新しいリモートアクセストロイの木馬（RAT）であるPoco RATを配信しています。この攻撃は、主に鉱業、製造業、ホスピタリティ業、および公益事業部門を対象としています。サイバーセキュリティ企業Cofenseによると、このマルウェアの大部分のカスタムコードは、分析防止、コマンドアンドコントロールセンター（C2）との通信、およびファイルのダウンロードと実行に重点を置いており、資格情報の監視や収集には限定的に焦点を当てています。

感染チェーンは、金融をテーマにした誘引を含むフィッシングメッセージから始まり、受信者がGoogle Driveにホストされた7-Zipアーカイブファイルを指す埋め込みURLをクリックすることで誘導されます。また、メールに直接添付されたHTMLまたはPDFファイルを使用する方法や、別の埋め込みGoogle Driveリンク経由でダウンロードする方法も観察されています。脅威アクターによる正規サービスの悪用は、セキュアなメールゲートウェイ（SEG）を回避するために利用されています。

Poco RATを伝播するHTMLファイルには、クリックするとマルウェア実行ファイルを含むアーカイブのダウンロードにつながるリンクが含まれています。PDFファイルも同様に、Poco RATを含むGoogle Driveリンクを含んでいます。起動後、このDelphiベースのマルウェアは、Windowsホスト上で永続性を確立し、C2サーバーに接続して追加のペイロードを配信します。このマルウェアはPOCO C++ライブラリを使用しているため、Poco RATと名付けられました。Delphiの使用は、キャンペーンの背後にいる特定されていない脅威アクターが、Delphiで書かれたバンキングトロイの木馬を標的とすることで知られるラテンアメリカに焦点を当てていることを示しています。この接続は、C2サーバーが地域外からの感染したコンピュータからの要求に応答しない事実によって強化されます。

また、マルウェアの作者が、Microsoft 365のログイン資格情報を収集するために設計されたフィッシングページにユーザーを誘導するQRコードをPDFファイルに埋め込むことでユーザーを騙すケースが増加しています。これは、人気のあるソフトウェアを宣伝する詐欺サイトを使用して、AsyncRATやRiseProなどのRATや情報窃盗マルウェアを配信するソーシャルエンジニアリングキャンペーンに続くものです。同様のデータ盗難攻撃は、偽のSMSメッセージを使用してインドのインターネットユーザーを標的にしており、パッケージ配送の失敗を偽って主張し、提供されたリンクをクリックして詳細を更新するよう指示しています。このSMSフィッシングキャンペーンは、金融詐欺を行うために侵害されたり、意図的に登録されたりしたApple iCloudアカウント（例: “[email protected]”）を使用する中国語を話す脅威アクターであるSmishing Triadに帰属しています。

【ニュース解説】

2024年2月以降、スペイン語を話す被害者を狙った新しいフィッシングキャンペーンが発生しています。このキャンペーンでは、Poco RATと呼ばれる新しいリモートアクセストロイの木馬（RAT）が配信されており、特に鉱業、製造業、ホスピタリティ業、公益事業部門が標的にされています。サイバーセキュリティ企業Cofenseの報告によると、このマルウェアは主に分析を避けるためのカスタムコード、コマンドアンドコントロールセンター（C2）との通信、ファイルのダウンロードと実行に焦点を当てており、資格情報の監視や収集は限定的です。

感染の手口としては、金融をテーマにした誘引を含むフィッシングメールが使用され、受信者がGoogle Driveにホストされた7-Zipアーカイブファイルへのリンクをクリックすることで感染が始まります。また、HTMLやPDFファイルを直接メールに添付する方法、あるいはGoogle Driveリンクを経由してこれらのファイルをダウンロードさせる方法も観察されています。これらの手法は、正規のサービスを悪用することで、セキュアなメールゲートウェイ（SEG）の検出を回避しています。

Poco RATはDelphiベースで開発されており、POCO C++ライブラリを使用しています。Delphiを使用することは、このキャンペーンが特にラテンアメリカを標的にしていることを示唆しています。この地域は、Delphiで書かれたバンキングトロイの木馬による攻撃が頻繁に行われることで知られています。さらに、C2サーバーがラテンアメリカ外からの感染したコンピュータからの要求に応答しないことからも、この地域特有の攻撃であることが強調されています。

このキャンペーンは、マルウェアの作者がQRコードや詐欺サイトを使用してユーザーを騙し、Microsoft 365のログイン情報などを盗む手法が増加しているトレンドの一環です。また、インドで観察されたSMSフィッシングキャンペーンのように、パーソナルな情報や支払いデータを盗むことを目的とした攻撃も増加しています。

このような攻撃の増加は、個人や企業がサイバーセキュリティに対する意識を高め、適切な対策を講じることの重要性を改めて浮き彫りにしています。フィッシングメールに対する警戒、不審なリンクや添付ファイルの開封を避ける、セキュリティソフトウェアの更新と定期的なパスワードの変更など、基本的なセキュリティ対策が不可欠です。また、このような攻撃の増加は、サイバーセキュリティの規制や法律の強化を求める声を高める可能性もあります。長期的には、サイバー犯罪との戦いにおいて、技術的な対策だけでなく、国際的な協力や法的枠組みの整備も重要な要素となるでしょう。

from New Poco RAT Targets Spanish-Speaking Victims in Phishing Campaign.