Perception Pointは3月18日(現地時間)、「Operation PhantomBlu: New and Evasive Method Delivers NetSupport RAT - Perception Point」において、米国の組織を標的としたマルウェアを配布するサイバー攻撃のキャンペーン「PhantomBlu」を発見したと伝えた。このキャンペーンでは新しい戦術、技術、手順(TTPs)により、マルウェア「NetSupport RAT」が展開されているという。
マルウェア配布キャンペーン「PhantomBlu」
「PhantomBlu」では、初期アクセスにソーシャルエンジニアリング攻撃が行われる。攻撃者は標的に悪意のあるメールを送信し、添付されているMicrosoft Office Word(.docx)ファイルを開くように誘導。さらに、ドキュメントに設定されているパスワードの入力と編集の有効化を求める。
次に、攻撃者はドキュメントに埋め込まれているプリンタの画像を偽装したOLE(Object Linking and Embedding)パッケージのクリックを求める。被害者がOLEパッケージ(プリンタ画像)をクリックするとZIPファイルを開くように要求され、開くとショートカットファイルを展開することになる。
ショートカットファイルを実行すると、リモートから悪意のあるPowerShellスクリプトがダウンロードされて実行される。PowerShellスクリプトはリモートから追加のZIPファイルをダウンロードし、マルウェア「NetSupport RAT」を抽出して実行する。
マルウェア「NetSupport RAT」
NetSupport RATは、リモートからテクニカルサポートを実施するために開発された正規の「NetSupport Manager」を改造したマルウェアとされる。主な機能には動作の監視、キーロガー、ファイルの転送、システムリソースの占有、ネットワーク内の横移動などがあるとされる。
対策
このキャンペーンではセキュリティソリューションの検出を回避するためにドキュメントファイルやZIPアーカイブを悪用している。Perception Pointは「この高度な技術は悪意のあるペイロードをドキュメントの外に隠し、ユーザーとの対話時のみ実行させることで従来のセキュリティソリューションを回避する」と述べている。
このような高度な攻撃を回避するため、ユーザーにはメールの添付ファイルに注意することが推奨されている。特に、安全性が確認されていないドキュメントファイルを開く際は保護ビューを有効にし、編集およびマクロを有効にしないことが推奨されている。
Perception Pointはこの調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。