DarkGate マルウェア:Skype/Teams を介して悪意の VBA を埋め込んだ PDF を配布

DarkGate Malware Spreading via Messaging Services Posing as PDF Files

2023/10/13 TheHackerNews — Microsoft の Skype や Teams などの IM (Instant Messaging) プラットフォームを介して、DarkGate というマルウェアが拡散していることが確認されている。これらの攻撃では、PDFドキュメントを装う VBA (Visual Basic for Applications) ローダー・スクリプトを配信するために、それらのメッセージング・アプリが使用される。そして、それらの悪意のスクリプトを開かれると、AutoIt スクリプトのダウンロードと実行がトリガーされ、マルウェアを起動するように設計されている。

10月12日 (木) に Trend Micro は、「IM アプリケーションの発信元アカウントが、侵害された方法については不明だが、アンダーグラウンド・フォーラムを通じて入手可能なリーク認証情報もしくは、標的とされた組織への以前の侵害でリークしたものが、悪用されたと推定される」と述べている。


2018年11月に Fortinet が文書化した DarkGate は、Web ブラウザから機密データを採取し、暗号通貨マイニングを実施し、感染させたホストを遠隔操作するための、幅広い機能を組み込んだコモディティ・マルウェアである。また、Remcos RAT などの、追加ペイロードのダウンローダーとしても機能するものだ。

このマルウェアを配布するソーシャル・エンジニアリング・キャンペーンは、ここ数カ月の間に急増しており、フィッシング・メールや検索エンジン最適化 (SEO) ポイズニングなどの初期侵入戦術を活用して、無意識のユーザーを誘い、マルウェアをインストールさせている。

このマルウェアの作者が、長年にわたってマルウェアを個人的に使用してきた後に、アンダーグラウンド・フォーラムでマルウェアを宣伝し、他の脅威アクターたちに MaaS (Malware-as-a-Service) として貸し出したことで、その被害が急増している。

DarkGate の伝播ベクターとしては、Microsoft Teams のチャット・メッセージが悪用され、しかも、複数の脅威アクターによる攻撃が発生していることが、先月の初めに Truesec により警告されている。

DarkGate Malware


Trend Micro によると、攻撃の大部分は南北アメリカで検出されており、それに続くのが、アジア/中東/アフリカとなる。

Skype と Teams を悪用する感染の手順は、最初のアクセス経路が変更されている点を除けば、2023年8月の下旬に Telekom Security が報告した、マルスパム・キャンペーンに酷似している。

Trend Micro の研究者である Trent Bessell/Ryan Maglaque/Aira Marcelo/Jack Walsh/David Walsh は、「この脅威アクターは、2つの組織間の信頼関係を悪用して、受信者を欺き、添付の VBA スクリプトを実行させている。被害者の Skype アカウントにアクセスすることで、脅威アクターは既存のメッセージング・スレッドを乗っ取り、チャット履歴のコンテキストに関連する、ファイルの命名規則を操作していた」と述べている。

この VBA スクリプトは導線として機能し、正規の AutoIt アプリケーション (AutoIt3.exe) と、DarkGate マルウェアを起動するための、関連 AutoIT スクリプトを取得する。

別の攻撃手順としては、LNK ファイルを含む ZIP アーカイブの添付ファイルを取り込んだ、Microsoft Teams のメッセージを送信し、VBA スクリプトを実行することで、AutoIt3.exe と DarkGate のアーティファクトを取得するものもある。

研究者たちは、「このサイバー犯罪者は一連のペイロードを用いて、さまざまな種類のマルウェアを、システムに感染させていく。具体的には、情報窃盗/ランサムウェア/悪意のリモート管理ツール/暗号通貨マイナーなどである。つまり、外部メッセージングが許可されている限り、または、侵害されたアカウントを介した信頼関係の悪用がチェックされていない限り、あらゆる IM アプリを用いた、この種のイニシャル・エントリーの手口が可能になる」と述べている。

フィッシングやソーシャルエンジニアリングといった詐欺行為が、Microsoft の Skype や Teams などの IM (Instant Messaging) プラットフォームを介して展開されているとのことです。そこで用いられる手口は、悪意の VBA を埋め込んだ PDF ということです。先ほどのポストで、VBScript の廃止が決まったとお伝えしましたが、VBA に関しては難しいところがあるのでしょうか? よろしければ、VBA で検索も、ご利用ください。