研究者が長期的なサイバースパイ活動のカプメインを明らかに

セキュリティ研究者は最近、世界中の石油業界企業を対象とした長期的なサイバースパイ活動に関する情報を発表しました。このキャンペーンは、長期的な検出の回避と、データの漏洩とスパイを持続させることを目的として、被害者のネットワークにリモートアクセス型トロイの木馬を仕掛けることに焦点を当てていました。

セキュリティ会社Intezerの研究者は、悪意のある攻撃者が、リモートアクセス型トロイの木馬のペイロードを悪意のある添付ファイルとして運ぶ、ターゲットを絞ったスピアフィッシングメールキャンペーンを使用していたことを明らかにしました。キャンペーンで使用されたRATマルウェアの範囲は大きく異なり、Agent Tesla、Loki、AZORultなどの悪名高い名前が含まれています。これらのツールには、機密情報とブラウザのログインの両方を盗むだけでなく、キーストロークをログに記録する機能があります。

キャンペーンはほぼ完全に石油およびガス会社に焦点を合わせていますが、ITおよびメディアセクターにいるいくつかのターゲットを絞った外れ値があります。不思議なことに、対象となる企業の大部分は韓国にあり、他の対象はヨーロッパや米国、アラブ首長国連邦など世界中にあります。

研究者たちはまた、悪意のあるキャンペーンのターゲットの1つが他のターゲットとは著しく異なっていることを指摘しました。奇妙なものはFEBCと呼ばれ、韓国にあるラジオ放送局であり、Intezerの研究者によると、韓国の北隣で「宗教禁止を覆そう」としています。

スピアフィッシングメールは、なりすましの送信者フィールドを使用しており、被害者によく知られているアドレスや企業から発信されたように見えます。一部のメールでは、タイポスクワッティングされたドメインが使用されていました。たとえば、ドットがダッシュに置き換えられたり、「L」が1に置き換えられたりするなど、正規のドメインとは1文字が異なるドメインです。

悪意のある電子メールの本文には通常、正当なビジネスオファーのように見えるものが含まれています。ペイロードは、実際には.cabアーカイブまたは.isoイメージである偽のPDFファイルに含まれています。 Intezerはまた、ペイロードがファイルレス技術を使用して展開され、潜在的な防御を損なう可能性のあるファイルをハードドライブに残さずに、システムメモリに直接展開されることを指摘しました。

Intezerはまた、電子メールはフォーマットの点で特によくできていて、合法的なビジネス通信のように見えるように細心の注意が払われていると指摘しました。これらの電子メールのテキストには、この背後にある脅威アクターがアマチュアではなく、合法で注目を集めるビジネス通信がどのように見えるかを非常によく理解していることを示す多くの小さな詳細があります。