MirrorBlastキャンペーン
TA505というAPTグループに関連付けされている新しいキャンペーンが観測されています。
MirrorBlastは次のように進行します。
- 電子メールの添付ファイルとして悪意のあるファイルが送られる
- 添付ファイルはSharePointとOneDriveルアーを使用してGoogleフィードプロキシURLに変更され、ファイル共有要求を装う
ここで宛先となるホストは、侵害されたSharePointまたは偽のOneDriveサイトです。 - ファイル共有で提供されるファイルは、32ビットバージョンのOfficeでのみ実行できる非常に軽量なマクロコードと武器化されたExcelドキュメントである
アンチサンドボックス機能が実装され、難読化が実施されています。 - コマンドを実行すると、JScriptが実行され、MSIパッケージのダウンロードとインストールを担当するmsiexec.exeプロセスが生成される
- インストーラーが実行されると、2つのファイルをProgramDataのランダムなディレクトリに配置する
1つは正規のソフトウェア言語インタープリター実行可能ファイル(KiXtartまたはREBOL)で、もう1つは悪意のあるスクリプトです。 - KiXtartスクリプトまたはREBOLスクリプトは、被害者のマシン情報(ドメイン、コンピューター名、ユーザー名、OSバージョン、プロセスリスト)をC2に送信する
base64でエンコードされたGETリクエストを送信するという形式で情報が持ち出されます。
この活動は、1回目ではありません。
類似の活動が2021年4月にあり、今回は2021年9月からの開始が観測されています。
被害者とならないために必要な活動にはいろいろなものがあると思います。
タイムリーに脅威の情報を入手し、それらが自身の関連する環境で発生した際にいかに速やかに対応を開始できるかということがポイントとなるかもしれません。
参考記事(外部リンク):MirrorBlast Campaign Targets Finance Sector Using Macros
www.inforisktoday.com/mirrorblast-campaign-targets-finance-sector-using-macros-a-17745
