Securonixは9月25日(米国時間)、「Threat Labs Security Advisory: New STARK#VORTEX Attack Campaign: Threat Actors Use Drone Manual Lures to Deliver MerlinAgent Payloads - Securonix」において、ドローンのマニュアルを悪用してマルウェアを配布するサイバー攻撃を発見したと報じた。脅威グループ「UAC-0154」がウクライナを標的として攻撃したとみられている。

  • Threat Labs Security Advisory: New STARK#VORTEX Attack Campaign: Threat Actors Use Drone Manual Lures to Deliver MerlinAgent Payloads - Securonix

    Threat Labs Security Advisory: New STARK#VORTEX Attack Campaign: Threat Actors Use Drone Manual Lures to Deliver MerlinAgent Payloads - Securonix

UAC-0154がウクライナの標的(@ukr.net)宛に悪意のあるコードを埋め込んだ添付ファイル付きのメールを送付したことで、今回の攻撃が特定されたという。送付された添付ファイルはMicrosoftヘルプ(.chm)ファイルとされ、ファイルを開くと埋め込まれた悪意のあるJavaScriptコードが実行される仕組みとなっている。

このコードは難読化されたPowerShellスクリプトを実行し、コマンド&コントロール(C2: Command and Control)サーバから難読化されたペイロードをダウンロードして実行する。ペイロードは「MerlinAgent」と呼ばれるコマンド&コントロールフレームワークで、実行されるとコマンド&コントロールサーバへ接続するとともにシステムの制御を完全に奪うことが可能とされる。

今回発見された.chmファイルは以下に示す通り、VirusTotalで検出されないため、アンチウイルスソフトウェアを回避して実行させることができる。ファイルはDJI Mavic 3と呼ばれるドローンのウクライナ語マニュアルが主体であり、実行しても正常にマニュアルが表示されるため攻撃に気づくことは難しいとみられる。

  • 悪意のある.chmファイルのVirusTotalの検査結果 - 提供:Securonix

    悪意のある.chmファイルのVirusTotalの検査結果 引用:Securonix

Securonixはこの攻撃を回避するための推奨事項と緩和策として次のような対策を示している。

  • 信頼できないソースからの添付ファイルは開かない
  • 一般的なマルウェアのステージングディレクトリ「C:\ProgramData」とユーザのAppDataフォルダを監視する
  • SysmonやPowerShellログなどの追加のプロセスレベルログを導入してログの検出範囲を拡大する
  • Securonixの顧客はSecuronix Seeder Hunting Queriesを使用してエンドポイントをスキャンする

Securonixは一般的にMicrosoftヘルプ(.chm)ファイルをインターネット経由で取得することはないと指摘。しかしながら、.chmファイルは防御を回避する能力が高いため、攻撃者にとって依然として利用価値の高いツールとして活用されているものとみられる。また、攻撃者は疑うことを知らない被害者が興味を持つであろうテーマの.chmファイルを構成して攻撃に利用することで、攻撃を成功させようとしているものと推測されている。

Securonixは今回の調査で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)の情報を公開しており、同様の被害からシステムを防御するために活用することが望まれている。