影響を受けるプラットフォーム:Windows(主に)、Linux & macOS(Javaがインストールされている場合)
影響を受けるユーザー :Java Runtime Environment(JRE)がインストールされているシステムのユーザー
影響 :攻撃者がリモートアクセス権限を取得して、コマンドの実行、キーストロークの記録、ファイルへのアクセス、Webカメラ / マイクのアクティブ化、感染システムのフルコントロールが可能になります
深刻度 :高
FortiMail IRチームは最近、スペインやイタリア、ポルトガルの組織を標的とする、複数の回避手法を利用してリモートアクセス型トロイの木馬(RAT)を配布する新たなEメールキャンペーンを発見しました。このキャンペーンは、Eメールサービスプロバイダーのserviciodecorreoを利用して、さまざまなドメインを認証済みの送信者として設定することで、SPF認証の通過を成功させます。
また、高度な回避手法も利用しており、これには、2つのファイル共有プラットフォームの悪用、ジオロケーション(地理)フィルタリング、難読化されたNgrokのセキュアトンネルを作成するなども含まれます。これらの手法により、検知が複雑化し攻撃の真の発信元が効果的に隠蔽されるため、結果として、RATtyマルウェアを簡単に配布することができます。
このキャンペーンにより、マルウェア攻撃の手口が巧妙化し、正規のリモート管理ツールの機能が悪意のある目的で利用されていることが明らかになりました。
概要
Eメール
攻撃者は、さまざまなドメインに代わってEメール送信を認証するスペインの正規のEメールサービスであるserviciodecorreo.esを悪用します。serviciodecorreo.esは、これらのドメインのSPFレコードで正当な送信者として指定されているため、悪意のあるEメールがSPF認証の通過に成功し、正当であると錯覚させます。
その結果、これらのEメールは、セキュリティフィルターを迂回する可能性が高くなり、受信者のメールサーバーで簡単に受け入れられるようになります。これにより、Eメールの不審な特徴に気づかず、攻撃が成功する可能性が高まります。
送信者は、PDFファイルを添付して、受信者に対して2つの新しい請求書を確認するよう要求します。これにより、受信者は、このEメールが重要であると信じて影響を受け、添付ファイルや詳細を確認する可能性があります。これは、警戒を和らげながらプレッシャーを与えることで、受信者に行動するよう仕向ける基本的なソーシャルエンジニアリングです。
PDFファイルの添付ファイル
添付されているPDFファイルを開くと、ファイルが正しく表示されてないことを示すメッセージが表示され、受信者は、ボタンをクリックして、ファイルをローカルにダウンロードするよう指示されます。このボタンは、Dropbox(ファイル共有プラットフォーム)のリンクが含まれており、「Fattura(翻訳:請求書)」という名前のHTMLファイルをダウンロードします。このようなファイル名は、ソーシャルエンジニアの戦術にはめるために選択されており、受信者に対して、クリックして情報を閲覧するよう説得し、最終的に、悪意のあるペイロードを配布することを狙っています。
HTMLファイル
HTMLファイルには、一般的な検証ステップが含まれており、「私はロボットではありません」というプロンプトが表示されます。
検証が完了すると、簡単なHTMLページが表示され、ボタンをクリックしてドキュメントを閲覧するよう指示されます。ボタンをクリックすると、ユーザーは、Ngrokを使用して生成されたリンク先にリダイレクトされます。Ngrokとは、一時的なセキュアURLを使用して、ローカルサーバーをインターネットに公開できるトンネリングツールです。
応答URL
以下のURLにアクセスすると、MediaFireファイル共有プラットフォームを悪用して、JARファイル(FA-43-03-2025.jar)が自動的にダウンロードされます。
hxxps://download1528[.]mediafire[.]com/35ougpab4uhgHgb3Pmqh8niQ0hzS9b-TtTro5oPV5iUIULfNckqgXvjXQ6aTp-NF-k8EflSnFWC--Ffh4aX1NlYrzaPzgFlyxHVe0fKkLE1p3u5cntfU25orm92QdoQmXE9-gyI4hRgSYpaNcd3o12kJnPRbJhD3aqbl1Qx3vqbUtk8/ayp0ikmndrdseht/FA-43-03-2025.jar
正規のファイル共有サービスを利用すると、信頼できるプラットフォームからのダウンロードは、セキュリティフィルターによって警告される可能性が低くなるため、攻撃者は、より検知を回避することができます。自動化された分析システムやサンドボックス環境、およびセキュリティ研究者は、対象地域以外の場所のURLを調査することが多いため、この戦術によって、セキュリティ企業は、検知やブロックがより困難になります。攻撃者は、特定の地域に限定してマルウェアを選択的に配布することで、早期に検知されるリスクを軽減し、攻撃の成功の可能性を高めることができます。
以下は、この回避方法を示しており、正当なファイルが含まれるGoogle Driveのリンクに被害者が誘導されています。
Ngrokを利用して、Eメールのセキュリティフィルターを回避
Ngrokは主に、Webhookをテストしたり、ローカルにホストされているアプリケーションを開発したり、NAT / ファイアウォールの制限を回避するために使用されます。しかしながら、このケースのようにNgrokを悪用すると、脅威アクターは、従来のセキュリティフィルターを回避する、検知が困難なフィッシング詐欺のリンクを動的に作成することも可能です。
攻撃者は、Ngrokを利用してURLを動的に生成することで、Eメールのセキュリティフィルターのメカニズムを回避することができます。攻撃者が悪用する重要な技術の1つは、ユーザーの場所に応じてサービス提供されるコンテンツが異なる、地理情報に基づくクローキングです。
このケースでは、Ngrokによって生成されたURLに、ユーザーがイタリア以外の国からアクセスすると、一見して正当なGoogle Driveドキュメントにリダイレクトされるため、EメールセキュリティソリューションでこのURLを不正なURLとして分類することは非常に困難です。
添付されている偽の請求書は、標的のすべての組織で同一です。この請求書は、世界的な医療関連組織であるMedinova Health Groupのものとされており、大半のEメールセキュリティメカニズムを回避するよう設計されています。
この一見して正当な請求書は、Google Driveを介して共有され、Eメールのスキャン時に疑いを抱かれる可能性が低いため、悪意のある意図が疑われることなく、Eメールセキュリティエンジンをすり抜けることを狙っています。
一方で、リクエストの発信元がイタリアからの場合、URLは完全に変更され、その結果、悪意のあるJARファイルがダウンロードされます。
大半のEメールセキュリティシステムは、一般的な環境やクラウドベースの環境からEメールの分析を実行しており、特定の地理的な場所に紐づけられていません。その結果、これらのセキュリティシステムがこの埋め込みURLにアクセスすると、悪意のあるファイルではなく、無害なおとりページにリダイレクトされます。このジオフェンシング技術により、対象地域のユーザーのみ(この場合はイタリア)、実際の不正なコンテンツにアクセスすることになります。
JARファイル
この.jarファイルには、Rattyマルウェアの一種が含まれています。ファイル名は「FA-43-03-2025.jar」で、特徴のない参照番号のように見えます。このような命名規則は珍しいものではありません。この名前はおそらく、支払いドキュメントに関連していると装って、エンドユーザーに対してファイルをクリックして実行するよう仕向けるために明確に選択されており、軽率で不注意な行動を促しています。
Ratty RAT:Javaベースのリモートアクセス型トロイの木馬
Ratty RATは、Javaベースのリモートアクセス型トロイの木馬(RAT)で、通常は、.jarファイルとして配布されます。Javaはクロスプラットフォーム言語であるため、Ratty RATは、Java Runtime Environment(JRE)がインストールされている限り、さまざまなオペレーティングシステム上で実行することが可能です。
脅威アクターは多くの場合、悪意のある添付ファイルを含むEメールベースのソーシャルエンジニアリングキャンペーンの一環として、Ratty RATを利用することで、リモートコマンドの実行、キーストロークの記録、スクリーンショットのキャプチャ、および機密データの盗難を行います。
Ratty RATは通常、.jarファイルとして配布されますが、攻撃者は、正当性を高めたり検知を回避するために、.jarファイルをMSI(Microsoftインストーラ)としてパッケージ化する場合もあります。このRATをMSI内にバンドルすることで、正当なファイルや更新に偽装することが可能なため、ユーザーを騙してマルウェアを実行させることが容易になります。
本Eメールキャンペーンが特に巧妙である理由
このEメールキャンペーンが特に巧妙である理由は、複数の戦術を組み合わせて、検知を回避したり信頼できるプラットフォームを悪用できるよう設計されているためです。このような多層的な戦略で複数のソーシャルエンジニアリング手法を利用して受信者を巧みに操ることで、不正なリンクをクリックするよう仕向けます。
請求書を装った一見して正当な送信者から送信された最初のEメールは、エントリポイントとして機能します。攻撃者は明らかに、一部の重要なセキュリティ対策を迂回するために、事前に調査を実施して、特定のEメールサービスを使用してEメールを送信するドメインを特定しています。
また、攻撃者は、ジオロケーション技術を活用して受信者の場所に応じて攻撃を調整しながら、DropboxやMediaFireなどのファイル共有プラットフォームを悪用して不正なペイロードを配布します。さらに、Ngrokを使用して、攻撃の真の発信元を隠蔽する難読化されたセキュアトンネルを作成することで、検知を困難にします。
RATty(リモートアクセス型トロイの木馬)を含むマルウェアの配布は、これらの要素を組み合わせた非常に高度で効果的な手法が生み出されているため、従来のセキュリティシステムでは検知やブロックが困難です。
フォーティネットのソリューション
フォーティネットは、この脅威に対して多層的な保護を提供します。FortiGateとFortiClientは、最新のアンチウイルス(AV)シグネチャを使用して、この不正なJARファイルを検知しブロックします。お客様は、最新のアンチウイルス(AV)データベースを使用して、お使いのシステムを定期的に確実に更新することをおすすめします。
また、フォーティネットのお客様はすでに、FortiGuardのAntiSPAM、Webフィルタリング、IPS、およびAntiVirusの各サービスによって、このキャンペーンから保護されています。このフィッシングメールは、FortiMailによって「ウイルス検知」と認識され、この脅威は、FortiMailのコンテンツ無害化と再構築(CDR)機能により、自動的に検知され減災されます。
また、フォーティネットのFortiMail、Webフィルタリング、およびアンチウイルスソリューションにはFortiSandboxが組み込まれており、既知および未知のフィッシングの試みに対して、リアルタイムなフィッシング対策保護が可能です。
現在、フォーティネットのFortiMailには、Perception PointのEmail Securityが含まれており、マルウェア、フィッシングの内容、およびRATty JARファイル自身を配布するために使用されるジオフェンスされた不正なURLを含むEメールを事前に検知しブロックします。これは、高度な動的スキャンと静的な分析技術によって実現されます。
これらの検知機能を組み合わせることで、不正なEメールやリンクを通じて配布される脅威やダウンロード時に配布される脅威を確実に減災できるため、攻撃チェーン全体をエンドツーエンドに保護することが可能です。
組織は、技術的な防御だけでなく、セキュリティ意識向上トレーニング(SAT)プログラムを導入して、フィッシングのシミュレーションを定期的に実施する必要があります。フォーティネットのインターネットの脅威に関する無償の「NSE トレーニング:NSE 1 – 情報セキュリティ意識向上」モジュールは、エンドユーザーが各種のフィッシング攻撃を識別して自らを保護する方法を学習できるよう設計されています。
FortiPhishフィッシングシミュレーションサービスは、実際のシミュレーションを使用することで、組織は、フィッシングの脅威に対するユーザーの意識や警戒をテストしたり、ユーザーがフィッシング攻撃に遭遇した場合の適切な行動をトレーニングおよび強化することができます。これらの取り組みにより、ユーザーは、不審な内容を識別して対応できるようになるため、フィッシング攻撃やマルウェア攻撃が成功するリスクが大幅に軽減されます。
お客様の組織が、この脅威やその他のサイバーセキュリティ脅威の影響を受けていると思われる場合、当社のFortiGuardグローバルインシデントレスポンスチームまでお問い合わせください。
また、サインアップすると、今後も警告を受け取ることが可能で、新たに出現する脅威の最新情報を入手できます。
IOC(Indicators of Compromise:侵害指標)
IP
143.47.53.106
130.51.20.126
199.232.214.172
199.232.210.172
ドメイン:
jw8ndw9ev[.]localto[.]net
l5ugb6qxh[.]localto[.]net
ハッシュ(SHA256):
a1c2861a68b2a4d62b6fbfc7534f498cefe5f92f720466d24ae1b66ebc9f5731
d20d14792c91107f53318ff7df83b9cd98acd3c394959a74e72278682822b600
9184ff2cdd05fcaf111db23123479c845b2ece2fedccc2524b2de592f9980876
5f897fec78e2fd812eb3bc451222e64480a9d5bc97b746cc0468698a63470880
6153c80b17cb990caad1d80cac72c867d4ecfa1a84b7ab286b7373cd4168794e
469b8911fd1ae2ded8532a50e9e66b8d54820c18ccdba49d7a38850d6af54475
af8b6ac45918bc87d2a164fae888dab6e623327cba7c2409e4d0ef1dde8d1793
コメント