Operation PhantomBlu

PhantomBluは攻撃キャンペーンにつけられた名前です。
最終的に送り込まれるのはNetSupport RATです。
NetSupport RATはこれまでも話題になってきました。
これまでの観測例としては、フィッシングサイトの偽の更新コンテンツから始まるものがあったのですが、今回確認されているキャンペーンでは、これまでとは異なる方法で環境に入り込んできます。

• 攻撃者はメールする
  攻撃者は偽の月給レポートを記載したフィッシングメールを送信します。
  利用する送信元メールサービスは一般的に利用されている正規の電子メール配信プラットフォームを選択しています。
  この意味では怪しさが大きくありません。
• メール本文で誘導する
  メールには月給レポートが内容となったdocxファイルをダウンロードするように示されています。
  メール閲覧者はdocxファイルを自身でダウンロードすることになります。
• ドキュメント本文で誘導する
  ドキュメントファイルを開くと、そのドキュメントを見るための方法が説明されています。
  文書の編集を有効にし、プリンターアイコンをクリックするように示されています。
  はい、そうです、これらはドキュメントを読むためだったり、印刷するための手順ではありません。
• 感染活動を開始する
  クリックされたプリンターアイコンは印刷開始ではない仕事を開始します。
  このアイコンをクリックした際には、OLEテンプレート操作が開始されるような構造になっています。
  そして、そこで実行される機構は、悪意ある内容を含むLNKファイルを含むアーカイブのダウンロードを実施します。
• LNKファイルで感染する
  実行されたLNKファイルはPowerShellスクリプトを起動します。
  このPowerShellスクリプトの内容はドロッパーです。
  このドロッパーはZIPファイルをダウンロードします。
  そしてダウンロードしたZIPを展開します。
• ZIPのなかからNetSupport RATを実行する
  展開されたZIPの中の機構により、マルウェアの永続化機構が設定されます。
  NetSupport RATを入手するPowerShellスクリプトも含まれていますので、これを実行し、NetSupport RATを入手します。

Operation PhantomBluでは、NetSupport RATの新しいTTPが確認されることとなりました。
RATマルウェアそのものの更新ではなく、それを送り込む手法がこれまで観測されたものと異なる新しいものとなっています。
検出を回避するためにソフトウェアの技術的な問題点を突くだけでなく、ソーシャルエンジニアリング的な手法も組み合わせて忍び寄ってくる構造へと変化しています。

安全のためには技術的なシステムとしての対応も必要ですが、人の部分も見逃すことのできない重要な部分であるということが言えそうです。

参考記事（外部リンク）：Operation PhantomBlu: New and Evasive Method Delivers
NetSupport RAT
perception-point.io/blog/operation-phantomblu-new-and-evasive-method-delivers-netsupport-rat/