Gophishは2016年からGitHubで公開されているオープンソースのフィッシングツールキットです。
企業や侵入テスト担当者向けに設計されたオープンソースのフィッシングツールキットで、フィッシング対策やセキュリティ意識向上トレーニングを迅速かつ簡単にセットアップして実行できます。
Goで書かれていて、Windows、Mac、Linuxのそれぞれの環境用のバイナリが配布されています。
インストールも簡単ですし、利用方法も簡単です。
作者の想定としてはレッドチーミングのためのツールということなのですが、そのまま脅威キャンペーンにも利用できる内容になっています。
このレッドチーミング用ツールが悪用されている脅威キャンペーンが確認されています。
- 始まりはメール
この脅威キャンペーンの始まりはフィッシングメールです。
メールにはリンクが含まれています。
巧みにこれをクリックさせます。 - 中身は2種類
フィッシングメールのリンクをクリックすると攻撃につながる動作が開始されるのですが、その流れは2種類確認されています。
1つは悪意あるWord文書を使うもの、もう1つは悪意あるJavaScriptを含むHTMLファイルを使うものです。 - Word文書タイプの中身
この経路では次にWord文書が使われます。
これがユーザに開かれると、この文書に含まれるVBマクロが動作します。
VBマクロは次々に悪意あるソフトウェア部品を展開し、PowerRATを設置します。
ちなみに、このWord文書ではVBマクロで悪事を実施するのですが、肝心の悪意あるコードの本体はマクロ部分には含まれていませんでした。
マクロ部分にあるのは設置のための機構のみで、本体の部分は、なんと、Word文書の本文部分に記述されていました。
しかも、その本文の文面は文書のデフォルトの背景色と同じテキスト色を使用してあって、被害者が見ただけでは認識できないようになっていました。
この本文に記述された内容はbase64でエンコードされたデータでした。
大胆な作戦です。
PowerRATは名前の示す通り、Powershellリモートアクセスツールです。
これはC2サーバの指示に従って他のPowerShellスクリプトやコマンドを実行する機能があり、被害者のマシンでさらに感染するための攻撃ベクトルを可能にします。 - HTMLタイプの中身
この経路では、次に悪意のあるJavaScriptが埋め込まれたHTMLファイルを使用します。
これは個別にユーザがクリックする必要はなく、この手前のフィッシングメールのリンクを被害者がクリックしたことからそのままこのHTMLが開かれるように動作します。
そして、SFXRAR実行可能ファイルの7-ZIPアーカイブを端末にダウンロードします。
このSFXRAR実行可能ファイルを被害者が実行すると、複数の段階を経て端末にDCRATを設置します。
DCRATは、DLLインジェクションと情報窃取のタスクを実行するプラグインに関連付けられたモジュール式RATです。
この脅威キャンペーンは、感染の経路が2種類ある内容となっていました。
そして、その両方が被害者による介入が2回必要な内容になっていました。
巧みな文面で被害者にファイルを開かせようとするわけですが、受信者が被害者とならないタイミングは2回ずつあったということになります。
攻撃は入手が容易なツールを使って簡単に実施可能です。
身の回りには、いつでもそのようなものがあるのだということを想定しておくことがよさそうです。
Threat actor abuses Gophish to deliver new PowerRAT and DCRAT
https://blog.talosintelligence.com/gophish-powerrat-dcrat/
| この記事をシェア |
|
|---|
