MENU

ちょっと捻りのきいたRMM悪用脅威キャンペーン

ほぼこもセキュリティニュース

近年よく見られる脅威活動のアプローチに、正規のRMM(リモート管理・監視)ソフトウェアを悪用して標的の環境に侵入するというものがあります。
従来の多くのRMM悪用事例(フィッシングメールや偽のサポート詐欺、Webサイトでの偽アップデートなどを起点とするもの)と比較すると、今回とりあげているキャンペーンにはいくつかの際立った特徴と違いが見られます。
どんな感じなのでしょうか。

  1. 侵入・拡散経路:メールではなく「乗っ取られたWhatsAppアカウント」の悪用
    従来の多くのRMM悪用キャンペーンでは、メールによるフィッシング(EmotetやBumblebee、あるいは様々なランサムウェアの初期侵入など)や、ブラウザのポップアップを介したサポート詐欺が主流でした。
    • 本事例の違い
      攻撃者は事前に何らかの方法で実在するユーザのWhatsAppアカウントを乗っ取り、そのアカウントの「連絡先リスト(友人や取引先)」に向けて直接悪意あるVBScriptファイルを送信していました。
      メッセージ自体にはテキストがなく、ファイルだけが送りつけられます。
      信頼している知人からのメッセージであるため、受信者が警戒を解きやすく、ソーシャルエンジニアリングの成功率が高まる仕組みになっています。
  2. 標的とする実行環境のピンポイントな狙い
    多くのマルウェアは、一般的なメールクライアントからのダウンロードやWebブラウザ経由の実行を想定しています。
    • 本事例の違い
      本キャンペーンは明確に「WhatsApp Desktop(PC版アプリ)」および「WhatsApp Web」のユーザーを標的にしています。
      特にWhatsApp Desktop内で添付ファイルをダブルクリックすると、アプリのデータ保存ディレクトリ内から WScript.exe を通じて直接VBScriptが実行される(プロセスツリー上、親プロセスが WhatsApp.Root.exe になる)という、デスクトップアプリの挙動がそのまま悪用されています。
  3. ソーシャルエンジニアリングにおける「多言語化」
    • 本事例の違い
      送信されるVBScriptのファイル名は「財務レポート」「未払いリスト」「請求書」といったビジネス・財務関連のテーマですが、英語だけでなく、マレー語、ポルトガル語、フランス語、ドイツ語など、標的の地域に合わせてローカライズ(多言語化)されていました(実際にマレーシア、ブラジル、インドなどで多くの被害が観測されています)。
  4. スクリプト内の「中国語のコメント」と「Windows偽装」
    通常、攻撃者が使用するローダーやスクリプトは、解析を遅らせるために難読化するのみで、内部に無関係なメッセージを大量に残すことはあまりありません。
    • 本事例の違い
      第1ステージのVBScript内には、「Microsoftの正規のWindows Updateコンポーネント」を模した大量のコメントやメタデータ(システム整合性チェックなどに関する記述)が含まれていました。
      しかも、その解説コメントの多くが中国語(簡体字等)で書かれていました。
      これは、セキュリティアナリストや自動解析ツールに対して「正規のシステムファイルの一部である」と誤認させるための偽装(デコイ)工作として機能しています。
  5. 執拗なUAC(ユーザーアカウント制御)無効化ループ
    RMMを導入するマルウェアは通常、管理者権限を取得した後にサイレントインストールを行うか、一回限りのプロンプトで許可を求めます。
    • 本事例の違い
      第2ステージに組み込まれたVBScriptは、WindowsのUAC(ユーザーアカウント制御)の設定を書き換えるレジストリ(ConsentPromptBehaviorAdmin を 0 に変更、つまり、プロンプトなしで管理者アクションを許可する設定)を、短いディレイを挟みながら繰り返し(loop)処理で執拗に実行しようとします。
      被害者が一度プロンプトを許可するか、または何度も表示されるポップアップに根負けして許可してしまう確率を上げるための、泥臭くも強力な手法がとられています。

従来のRMM悪用が「不特定多数へのメール」や「Web上での罠」を起点としていたのに対し、今回の件は「乗っ取ったチャットアプリ(WhatsApp)の信頼関係の悪用」「PC版チャットアプリの仕様に最適化された実行プロセスの利用」「Windows Updateを騙る中国語コメントでの偽装」「執拗なUAC書き換えループ」という点で、より巧妙かつターゲットの環境に合わせた独自の工夫が見られる点が大きな違いです。
ここから、攻撃側は「攻撃のツール(中身)を見られる・解析されること」をあらかじめ前提にした活動に移行してきていると考えられます。
もはや、ファイルやコードの見栄えが「怪しいか怪しくないか」という人間の主観的な判断が有効な時期は過ぎ去り、より厳格なプロセス監視や「信頼できる経路からのファイルでも検証する(ゼロトラスト)」アプローチが必要不可欠になっているということなのでしょう。

A VBScript campaign distributed through WhatsApp deploying RMM software
https://securelist.com/whatsapp-vbs-rmm-campaign/120290/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。