PhantomPulseは、リモートアクセス型マルウェアです。
このマルウェアの侵害行動には、被害者の操作を必要とする内容で計画されています。
この操作を不自然でなくす取り組みとしてソーシャルエンジニアリングを組み合わせて使ってきます。
PhantomPulseの侵害の流れを見てみましょう。
- はじまりはLinkedIn
LinkedInは、世界200以上の国と地域で10億人以上が利用する、世界最大級のビジネス特化型SNSです。
実名のプロファイルで職歴やスキルを公開し、転職活動、ネットワーキング、情報収集、企業採用(ダイレクトリクルーティング)などに幅広く活用されています。
脅威アクターはまずはここにベンチャーキャピタル企業の担当者に見えるアカウントを用意します。 - 連絡する
標的を決めると、脅威アクターは用意したLinkedInアカウントを使って、LinkedIn上で標的に連絡します。
話される話題は金融サービスや仮想通貨の流動性ソリューションに関する内容です。
ここで一定の信頼を勝ち取ります。 - 場所を移す
LinkedIn上でのやり取りが盛り上がると、他のメンバーもいるからという流れで、話す場所を移動することを勧められます。
移動先はTelegramグループです。
ここに移動すると話題はさらに盛り上がり、この場は金融に関する話をすることができる場であると思われるように仕向けます。 - 共有ダッシュボードを開く
話の中で、標的は共有ダッシュボードを開くように誘導されます。
利用することになるアプリケーションはObsidianです。
この環境用の認証情報をもらって、そこに接続することを促されます。
単に接続するだけでは共有したい情報を見ることができないということで、関連する操作の実行も促されます。
インストール済みのコミュニティプラグインの同期を有効にするように指示されるのです。
ここで操作のポイントになるプラグインは、Obsidianの正規のプラグインである、Shell CommandsプラグインとHiderプラグインです。
これらは標準では無効状態なのですが、標的の人に操作を指示し、手動で有効に変更させます。
これで攻撃の準備は整いました。 - コマンドを実行する
有効化されたプラグインの効能を悪用し、脅威アクターの用意したコマンドを実行します。
ここで実行されるコマンドが悪意あるものとなっています。
標的となるユーザを巧みに誘導して攻撃を成立させる内容となっています。
改造されていない正規のアプリケーションが永続化とコマンド実行チャネルの役割を果たします。
攻撃のための設定環境の実現にはマルウェアやなんらかの脆弱性などを使うことなく、標的の人間に操作させて実施させます。
ペイロードは従来のアンチウイルス判定機構で検出する可能性の低いJSON設定ファイル内に完全に内包した状態で持ち込みます。
そして持ち込んだペイロードの実行は署名済みの信頼できるElectronアプリケーションで実施します。
従来の攻撃検出の考え方で取り組む限りでは、ルールに違反すると判定しやすい内容がないのです。
この攻撃は、Windows向けの内容の他に、macOS向けの内容も用意されていることが観測されています。
利用環境の脆弱性対策をばっちり実施しているので安心だ、と思っていると、人間の部分の脆弱性をつかれるというお話でした。
Phantom in the vault: Obsidian abused to deliver PhantomPulse RAT
https://www.elastic.co/security-labs/phantom-in-the-vault
| この記事をシェア |
|
|---|
