MirrorBlastキャンペーン

TA505というAPTグループに関連付けされている新しいキャンペーンが観測されています。
MirrorBlastは次のように進行します。

  • 電子メールの添付ファイルとして悪意のあるファイルが送られる
  • 添付ファイルはSharePointとOneDriveルアーを使用してGoogleフィードプロキシURLに変更され、ファイル共有要求を装う
    ここで宛先となるホストは、侵害されたSharePointまたは偽のOneDriveサイトです。
  • ファイル共有で提供されるファイルは、32ビットバージョンのOfficeでのみ実行できる非常に軽量なマクロコードと武器化されたExcelドキュメントである
    アンチサンドボックス機能が実装され、難読化が実施されています。
  • コマンドを実行すると、JScriptが実行され、MSIパッケージのダウンロードとインストールを担当するmsiexec.exeプロセスが生成される
  • インストーラーが実行されると、2つのファイルをProgramDataのランダムなディレクトリに配置する
    1つは正規のソフトウェア言語インタープリター実行可能ファイル(KiXtartまたはREBOL)で、もう1つは悪意のあるスクリプトです。
  • KiXtartスクリプトまたはREBOLスクリプトは、被害者のマシン情報(ドメイン、コンピューター名、ユーザー名、OSバージョン、プロセスリスト)をC2に送信する
    base64でエンコードされたGETリクエストを送信するという形式で情報が持ち出されます。

この活動は、1回目ではありません。
類似の活動が2021年4月にあり、今回は2021年9月からの開始が観測されています。

被害者とならないために必要な活動にはいろいろなものがあると思います。
タイムリーに脅威の情報を入手し、それらが自身の関連する環境で発生した際にいかに速やかに対応を開始できるかということがポイントとなるかもしれません。

参考記事(外部リンク):MirrorBlast Campaign Targets Finance Sector Using Macros
www.inforisktoday.com/mirrorblast-campaign-targets-finance-sector-using-macros-a-17745

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。