LOSTKEYSは、新たに観測されているマルウェアの名称です。
いろいろな脅威アクターが確認されていますが、国家が支援するとみられる脅威アクターのCOLDRIVERによるものと考えられます。
COLDRIVERは従来から非政府組織(NGO)の要人、情報機関および軍の元幹部、北大西洋条約機構(NATO)の政府高官などの著名な人物のログイン情報を標的としたフィッシング攻撃を行ってきています。
そんなCOLDRIVERが新たに展開を開始しているLOSTKEYSは、どんな動きで忍び寄ってくるのでしょうか。
- ステージ1:偽CAPTCHA
CAPTCHAはWebサイトの訪問者が人間であるかどうかを確かめるためのテストです。
正規のCAPTCHAにおいて、いくつもの方式のものが展開されていますし、見たことのない形式のものが新たに追加されることもあるため、知らなかったものが表示されたときにでも警戒心が起こりにくいかもしれません。
そういったユーザ心理を突いています。
脅威アクターは偽のCAPTCHAを設置したWebサイトを配置し、そこに標的を誘導します。
CAPTCHAの検証をユーザが進めると、画面で次の操作を促されます。
指示内容は、WindowsキーとRを同時に押し、コントロールキーとVを同時に押し、エンターキーを押してください、という内容です。
これに従うと、偽CAPTCHAによってコピーバッファにコピーされていたPowerShellを起動するコマンドライン文字列がWindowsの実行機能で起動されてしまいます。
起動されたPowerShellの動作により、次の段階のファイルを外部からダウンロードし、次の段階の侵害行為に移ります。 - ステージ2:VMの回避
動作を開始したマルウェアは動作環境の確認を開始します。
脅威アクターは研究者に解析されることを望みません。
研究者はいろいろな調査環境を駆使して研究に取り組みます。多くの場合それはVMなどの機能を利用したものとなります。
これに対応するため、多くの脅威アクターはあの手この手でこれから動作させようとするマルウェアの動作環境がVMであるかどうかの検出を試みます。
このLOSTKEYSのloader部分にもその機能が搭載されています。
LOSTKEYSのloaderでは、VMが持っていると脅威アクターが考えている画面解像度のパターンであるかをもってVMを検出しようとします。 - ステージ3:目的のマルウェアの設置
研究者による調査環境ではないと思われる環境であることがわかると、loaderは目的のマルウェアを設置します。
LOSTKEYSの設置です。
loaderはマルウェアの暗号化されたバイナリと、そのバイナリの暗号化を解除するために必要となるキーと、その解除機構を持ったデコーダーを取得します。
そして、侵害環境でマルウェアを動作可能な状態に戻し、利用を開始します。
暗号化のキー情報は個別に用意されたものを使用することが確認されていますので、復号化前のバイナリのネットワークの転送においては、それがマルウェアであることをセキュリティ機構で認識することはできそうにありません。 - ステージ4:LOSTKEYSの動作開始
設置が完了すると、動作を開始します。
LOSTKEYSは、ハードコードされた拡張子とディレクトリのリストからファイルを盗み出す機能と、システム情報や実行中のプロセスを攻撃者に送信する機能とを持ちます。
この感染経路の最初のあたりの部分は、ClickFixと呼ばれる攻撃手法です。
LOSTKEYSに限らず、この攻撃手法を使用する攻撃の例が多く確認されています。
開始部分となるメールの送信者メールアドレスを確認するとか、緊急であるというように実行を急がせるようなケースに注意しましょうということで対策とされることがありますが、なかなかそれだけでは十分な対策とはならないかもしれません。
指示内容で何が起こるかわからないコマンド実行を促されるままに実行しない、そういった内容で仕掛けられる攻撃手法が存在する、といったことを認識し注意していくことが必要ですね。
COLDRIVER Using New Malware To Steal Documents From Western Targets and NGOs
https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos?hl=en
| この記事をシェア |
|
|---|
