FLUX#CONSOLEは、フィッシングキャンペーンにつけられた名前です。
2023年以降、LNKファイルを悪用した攻撃が多く観測されています。
その流れは今も衰えていませんが、別の手法が採用されたフィッシングキャンペーンが確認されています。
どんな特徴か見てみましょう。
- 始まり方
始まりはメールです。
今回の確認された事例では、ルアーは税金をテーマにしたものとなっていました。 - MSCの悪用
MSCはManagement Saved Consoleです。
Windows標準の設定ツールであるMicrosoft Management Console(MMC)の設定ファイルの拡張子がMSCです。
添付されているファイルは、内容としてはMSC形式なのですが、見た目は異なります。
アイコンはPDFに偽装され、ファイル名も「~.pdf.msc」のように二重の拡張子のような状態になっています。
拡張子を表示しない設定状態でWindowsを利用している場合は、PDFファイルに見えるでしょう。
拡張子を表示する設定状態でも、ファイル名の一番右端まで見ない場合はPDFだと勘違いしてしまうかもしれません。
この添付ファイルを開くと、Microsoft管理コンソールが起動されて、埋め込まれたJavaScriptコードが実行されるような仕掛けになっています。
ただし、画面上ではおとり文書が表示されますので、利用者の見た目的にはPDFを開いたように感じる動きとなっています。
しかし、起動されたJavaScriptは悪意ある活動を何段階にもわたって展開し、最後にはDLL検索順序ハイジャックでDLLを読み込みます。
そして、さらにスケジュールタスクを設置する機能も実装されていますので、永続性を持った脅威活動となる仕組みになっています。 - 送り込まれるのはバックドア
おとり文書を開くことから始まった活動で設置されるのはバックドアです。
バックドアですので、C2との通信を行って活動を実施しますが、その通信はHTTPSに見えます。
実際の通信内容はSSLでの暗号化ではなく、C2への最初の送信内容はBase64でのエンコードされていました。
そして、次以降の通信内容は暗号化が実施された状態となっていました。
このバックドアはC2の指示に従ってデータを収集して持ち出す内容となっていると考えられます。
現在の攻撃は複雑化が進んでいます。
そして、その複雑化するための手法は次々に追加されていきます。
システム的な防御に頼るだけではなく、情報収集や関係者への情報共有を行うなどの人の部分での対策が重要性を増しているということのように思えます。
Analyzing FLUX#CONSOLE: Using Tax-Themed Lures, Threat Actors Exploit Windows Management Console to Deliver Backdoor Payloads
https://www.securonix.com/blog/analyzing-fluxconsole-using-tax-themed-lures-threat-actors-exploit-windows-management-console-to-deliver-backdoor-payloads/
| この記事をシェア |
|
|---|
