Dream Job、夢の仕事です。
「こんなに条件の良い仕事の話がありますよ」という情報が舞い込んでくるというストーリーのルアーから始まる脅威キャンペーンです。
この手の手法は多くあるわけですが、ちょっと特徴的なものがありました。
- TA455
脅威アクターはいろいろな調査会社で調査されて、様々な名前で呼ばれています。
同じ範囲の人たちを別の名前で呼んでいる場合もありますし、含まれる範囲が微妙に異なることもありそうです。
今回注目している脅威キャンペーンは、TA455に帰属するものとみられています。
TA455は、APT35ともいわれるCharming Kittenのサブグループです。 - ルアー
ルアーのタイプは仕事です。
夢のように魅力的な仕事がありますよ、という話で被害者を釣ります。 - 釣り堀
ルアーはLinkedInに設置されます。
アバターの画像は生成されたものが使われています。
ここに求人サイトに置かれたように見えるZIPファイルへのリンクを設置し、それを閲覧者に公開しています。 - PDFのガイド
この求人サイトとは親切です。
感染を防ぐ可能性のある「間違い」を犯さないように、Webサイトに「安全」にアクセスする方法を説明した詳細なPDFガイドを配布しています。
PDFのガイドに従ってZIPファイルを入手します。
この操作により、ZIPファイルは確実に被害者の手に渡ります。 - ZIPファイル
ZIPのなかにはいくつかのファイルが入っています。
ZIPファイルの中を開いている時点で、その人は次の行動もいとわないでしょう。
ZIPファイルのダウンロード者はZIPのなかにあるEXEファイルを実行し、被害者となります。
EXEを実行するとDLL再度ローディングが起こり、悪意あるDLLが読み込まれます。 - secur32.dll
これが、今回のキャンペーンで使用されている悪意あるDLLファイルです。
このDLLは、SnailResinというトロイのローダーです。
SnailResinはBassBreakerバックドアの更新バージョンです。
これにより、追加のマルウェアを展開し、資格情報を盗み、権限を昇格し、ネットワーク上の他のデバイスに横方向に移動できるようになります。
この一連の手口はLazarusのものに類似する点が多いものになっています。
なんらかの協力関係にあるのか、単に模倣したのか、類似する手法を選択することで容疑を擦りつけようということなのか、意図はわかりません。
この脅威は、その過程にシステムの脆弱性は悪用していません。
その代わりといいますか、人の弱い部分を悪用しているものとなっています。
Iranian “Dream Job” Campaign 11.24
https://www.clearskysec.com/irdreamjob24/
| この記事をシェア |
|
|---|
