ブラックムーンバンキング型トロイの木馬
サイバーセキュリティアナリストは、インドの個人および組織を標的とした多段階の侵入キャンペーンが活発に行われていることを明らかにしました。この活動はサイバースパイ活動の性質を持つと見られ、多層的なバックドアフレームワークを利用して、侵入したシステムへの長期的かつ秘密裏なアクセスを確立しています。
目次
初期感染経路としてのフィッシング
このキャンペーンは、インド所得税局からの正式な文書を装ったフィッシングメールから始まります。これらのメッセージは、税金の罰金通知を装い、受信者をZIPアーカイブのダウンロードに誘導します。アーカイブを開くと、感染チェーンが開始され、最終的には継続的な監視とデータ窃取が可能になります。
武器化されたアーカイブとステルス的な処刑
配信されたZIPファイルには5つのコンポーネントが含まれており、「Inspection Document Review.exe」というおとりの実行ファイル以外はすべて隠されています。このファイルは、アーカイブに埋め込まれた悪意のあるダイナミックリンクライブラリをサイドロードするために悪用されます。この不正DLLは、デバッガ回避チェックを実行し、リモートのコマンドアンドコントロールサーバーと通信して次の段階のペイロードを取得します。
権限昇格とプロセスマスカレード
ダウンロードされたシェルコードは、COMベースの手法を利用してユーザーアカウント制御(UAC)を回避し、昇格した権限を付与します。その後、自身のプロセス環境ブロック(PEB)を改変し、正規のWindows explorer.exeプロセスを偽装することで、セキュリティツールやアナリストによる検出の可能性を低減します。
適応型ペイロード配信
次の段階である「180.exe」は、ドメインeaxwwyr[.]cnから取得されます。このファイルは32ビット版のInno Setupインストーラーで、感染ホストに特定のセキュリティソフトウェアがインストールされているかどうかに応じて実行フローを変更し、マルウェアが回避策を動的に調整できるようにします。
セキュリティソフトウェアの回避とブラックムーンの連携
防御ソフトウェアが検出された場合、マルウェアは直接的な無効化を回避します。代わりに、マウスの動きをシミュレートしてセキュリティインターフェースを操作し、悪意のあるコンポーネントを密かに除外リストに追加します。この活動は、2015年の出現以来、韓国、米国、カナダの企業への攻撃に関与してきたBlackmoon(KRBanker)マルウェアファミリーの亜種と評価されているDLLによって促進されます。
正当な企業ツールの悪用
除外リストに追加されたファイルの一つは、SyncFutureTec Company Limitedの正規のユーティリティである「Setup.exe」です。このプログラムは、「mysetup.exe」をドロップします。これはSyncFuture TSM(Terminal Security Management)として識別され、Nanjing Zhongke Huasai Technology Co., Ltd.が開発した商用リモート監視・管理ソリューションです。企業管理用に設計されていますが、今回のキャンペーンでは包括的なスパイ活動プラットフォームとして再利用されています。
サポートコンポーネントとシステム操作
展開後、環境を準備および制御するために追加の要素がインストールされます。
- カスタム ディレクトリを作成し、アクセス制御リストを変更し、デスクトップのアクセス許可を変更し、クリーンアップおよび復元タスクを実行するバッチ スクリプト。
- サービスを調整し、広範なアクティビティ ログを有効にするオーケストレーター実行可能ファイル「MANC.exe」。
運用上の影響と戦略的意義
正規のエンタープライズツールとカスタムマルウェアを併用することで、攻撃者は感染したエンドポイントのリモート制御、ユーザーアクティビティの継続的な可視化、そして機密データの窃取のための一元的なメカニズムを獲得します。DLLサイドローディング、権限昇格、商用ツールの転用、分析対策、セキュリティソフトウェアの回避策を巧みに組み合わせて利用することは、高度な技術的成熟度と、侵害されたシステムに対する持続的かつきめ細かな制御を維持しようとする明確な意図を反映しています。
