航空業界を狙うトロイの木馬:2018年から活動を続けてきたことが判明

Threat actor has been targeting the aviation industry since at least 2018

2021/09/18 SecurityAffairs — Cisco Talos のセキュリティ研究者たちが発見した、Operation Layover と呼ばれるスピアフィッシング・キャンペーンだが、航空業界をターゲットに2年間にわたって検知されずに行われていたという。専門家たちは、このキャンペーンの背後にいる脅威アクターは、高い確率でナイジェリアを拠点としており、技術的には洗練されていないようだが、このマルウェア・キャンペーンを5年以上前から成功させている疑いがある。

攻撃者たちは、この活動が始まったときから既製のマルウェアを使用しており、独自のマルウェアを開発したことはない。Talos の研究者たちは、同グループはダークウェブで購入したクリプターを用いて、自身の存在を目立たせないようにしてきたと考えている。このグループの活動に関する調査は、AsyncRAT を使用する一連の攻撃について説明した、Microsoft のツイートをきっかけに始まった。

このスピアフィッシング・メッセージは、航空業界や貨物業界をターゲットにして、特別に作成されたドキュメントを、エサとして使用している。このドキュメントは PDF ファイルを装っているが、Google Drive にホストされている VBScript ファイルにリンクしており、AsyncRATnjRAT などのリモートアクセス・トロイの木馬 (RAT) を、最終的には配信することになる。

Cisco Talos が発表した分析結果は、「これらのキャンペーンの背後にいるアクターは、5年以上前からマルウェアを運用しており、特に航空業界をターゲットにした活動を、少なくとも2年間は行っている。このキャンペーンでは、アクターは最初の攻撃ベクターとしてメールを使用していた。これらのメールには、Google Drive にホストされている .vbs ファイルへのリンクである、PDF ファイルが添付されているように見える。我々の調査によると、このアクターは、少なくとも 2018年から航空業界を標的にしており、当時は akconsult[.]linkpc[.]net という URL を用いて、Trip Itinerary Details とBombardier に言及するファイルが存在していた」と述べている。

しかし、専門家が収集した証拠から、この脅威アクターは少なくとも、2013年から活動していたことが判明した。この脅威アクターに関連する活動をさらに分析すると、Cybergate RAT/AsyncRAT などのマルウェアをダウンロードして実行するために、さまざまなドメインや RAT を使用していることが分かった。

専門家たちは、「これらの脅威アクターたちは、限られた技術知識しか持っていないが、トロイの木馬や RAT を操作することができ、条件さえ整えば、大企業に大きなリスクをもたらすことになる。今回のケースでは、単純なキャンペーンのように見えたものが、実際には3年間にもわたって継続的に活動しており、複数の暗号を用いて偽装された既製マルウェアを用いて、産業全体を標的にしていることが判明した」と結論づけている。

この種の小規模な活動は、レーダーに検知され難い傾向があり、暴露された後であっても脅威アクターは活動を停止しない。C2 のホスト名を放棄し、初期ベクターやトロイの木馬を変更することもあるが、活動を止めることはない。なぜなら、ブラックマーケットから購入する、Web クッキー/トークン/有効な認証情報は、彼らの経済と比べてあまりにも高価なため、活動を止めることができないのだろう。

マルウェアの隠し方も、どんどん進化しているようです。今月の初めに、「ファイルレス・マルウェアは光学迷彩:隠れ家をロジカルにあぶり出せ」という記事をポストしましたが、そこに解説されているような高度な手法を用いずに、これほど長い期間に渡って隠れ続けたことに驚きます。世界中のシステムに、どれほどのマルウェアやトロイの木馬が隠れているのかと、想像するだけで、気が遠くなってきます。

%d bloggers like this: