Elasticsearchはこのほど、「Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs」において、新しいWindows向けバックドア「WARMCOOKIE」を発見したと報じた。このマルウェアは現在進行中のフィッシングキャンペーンを通じて配布されているとして、注意を呼びかけている。

  • Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs

    Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs

侵害経路

Elasticsearchにより特定された今回のキャンペーンでは、人材紹介会社を装った偽のフィッシングメールが使用されるという。メールには標的個人の名前や雇用主の名前が記載され、説得力の高い内容になっている。本文には「求人情報を表示する」と書かれたリンクがあり、クリックすると偽の求人情報ページが表示される。

  • フィッシングメールの例 - 引用:Elasticsearch

    フィッシングメールの例 引用:Elasticsearch

偽の求人情報ページにはロボットを排除するためのCAPTCHAが設置されている。これには、セキュリティ企業の自動検出ロボットを排除しつつ、被害者に正規サイトの印象を与える目的があるとみられる。被害者がCAPTCHAを入力して先に進むと悪意のある難読化されたJavaScriptがダウンロードされる。

  • 偽の求人情報ページの例 - 引用:Elasticsearch

    偽の求人情報ページの例 引用:Elasticsearch

このJavaScriptを実行すると悪意のあるPowerShellスクリプトが実行され、バックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用してバックドア「WARMCOOKIE」がダウンロード、実行される。

  • 侵害経路 - 引用:Elasticsearch

    侵害経路 引用:Elasticsearch

バックドア「WARMCOOKIE」の実体

Elasticsearchの分析によると、WARMCOOKIEには次の機能があるという。

  • タスクスケジューラーを使用した永続性の確保とシステム権限の取得
  • 文字列の暗号化による分析妨害
  • アンチデバッグ機能
  • システム情報およびユーザー情報の窃取
  • スクリーンショットの窃取
  • インストールされたアプリケーション一覧の窃取
  • 任意のコマンドの実行
  • ファイルの読み書き

対策

このキャンペーンでは攻撃にフィッシングメールを用いる。そのため、メールの内容に不審な点がないか、リンクやWebブラウザに表示されるURLが人材紹介会社の正規のドメインかを確認することが推奨される。

ElasticsearchはWARMCOOKIEを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。