PHANTOMPULSE RAT
高度なソーシャルエンジニアリング攻撃が出現し、Obsidianを初期アクセス経路として悪用し、これまで未報告だったWindowsリモートアクセス型トロイの木馬「PHANTOMPULSE」を拡散させている。この攻撃は、金融および仮想通貨業界で活動する個人を標的としており、正規のツールに対する信頼を利用して、従来のセキュリティ対策を回避している。
目次
作戦REF6598:専門家ネットワークを通じた欺瞞
サイバーセキュリティ研究者によってREF6598と命名されたこのキャンペーンは、LinkedInとTelegramを介した高度なソーシャルエンジニアリング技術を用いている。標的は当初、ベンチャーキャピタル企業との提携を装って接触される。その後、会話はなりすましの「パートナー」で構成されたTelegramグループチャットに移行され、正当性を装った巧妙な偽装工作が行われる。
これらのグループ内では、金融サービスや仮想通貨の流動性戦略に関する議論が中心となり、信頼性を高めている。被害者は最終的に、提供された認証情報を使用して、クラウド上でホストされているObsidianの保管庫を介して共有ダッシュボードにアクセスするよう指示される。
隠されたトリガー:悪意のある金庫の起動
感染経路は、被害者がObsidian内で共有ボルトを開いたときに開始されます。この段階で、ユーザーは「インストール済みのコミュニティプラグイン」の同期を有効にするよう求められますが、この機能はデフォルトでは無効になっています。この手動操作は、埋め込まれた悪意のある設定の実行を可能にするため、非常に重要です。
攻撃者は、正規のプラグイン、特にShell CommandsとHiderを悪用して、不正なコードを実行します。Shell Commandsは実行を容易にする一方、Hiderはステータスバーやツールチップなどのインターフェース要素を隠すことで、検出される可能性を低減します。この攻撃は、ユーザーにプラグインの同期を有効にするよう促すことで、組み込みのセキュリティ対策を回避することに完全に依存しています。
計画的な逃避:合法的な特徴を利用して生きる
このキャンペーンの特徴は、ソフトウェアの脆弱性を悪用するのではなく、信頼できるアプリケーションの機能を戦略的に悪用している点にある。主な特徴は以下のとおりである。
- 悪意のあるペイロードはJSON設定ファイル内に埋め込まれているため、従来のウイルス対策ソフトによる検出を回避できる可能性が低くなります。
- 実行は署名付きElectronベースのアプリケーションを介して行われるため、親プロセスに基づく検出が複雑になる。
- 永続性とコマンド実行は、アプリケーション内の正当なプラグインメカニズムに完全に依存します。
Windows感染の連鎖:ローダーからメモリ常駐型バックドアまで
Windowsシステムでは、この攻撃はPowerShellベースの実行チェーンを開始し、PHANTOMPULLという名前の中間ローダーを展開します。このローダーはPHANTOMPULSEをメモリ上で直接復号化して起動するため、ディスクベースの検出を回避できます。
PHANTOMPULSEは、イーサリアムネットワークにクエリを実行することで、ブロックチェーンベースのコマンド&コントロール(C2)解決機能を組み込んでいます。ハードコードされたウォレットアドレスに関連付けられた最新のトランザクションを取得し、C2サーバーを動的に特定します。通信はWinHTTPを介して行われ、データ漏洩、コマンド取得、および実行レポートが可能になります。
このマルウェアは、幅広いリモート制御機能をサポートしています。
- inject: シェルコード、DLL、または実行可能ファイルをプロセスに注入します。
- drop: ディスク上のファイルを書き込み、実行する
- スクリーンショット:画面データをキャプチャしてアップロードします
- keylog: キーストロークのログ記録を有効または無効にします
- アンインストール:永続化メカニズムを削除し、アーティファクトをクリーンアップします
- elevate: COM昇格を使用してSYSTEM権限に権限を昇格します
- ダウングレード:権限をSYSTEMレベルから管理者レベルに引き下げます
macOS版:難読化と柔軟なC2インフラストラクチャ
macOS上では、この攻撃は同じプラグインメカニズムを介して配信される難読化されたAppleScriptを利用します。スクリプトは事前に定義されたドメインリストを順に処理し、C2検出のための代替デッドドロップリゾルバとしてTelegramを使用します。この設計によりインフラストラクチャの迅速なローテーションが可能になり、従来のドメインブロック戦略は無効になります。
最終段階では、osascriptを介して二次ペイロードを取得して実行します。しかし、分析時点でC2サーバーが非アクティブ状態であったため、このペイロードの全機能は不明のままです。
攻撃結果と戦略的意義
観測された侵入は、防御策によって目的達成前に検知・阻止されたため、最終的には失敗に終わった。しかしながら、REF6598は脅威アクターの手法における著しい進化を浮き彫りにしている。
攻撃者は、信頼できるアプリケーションを悪用し、ユーザー主導の設定変更を利用することで、従来のセキュリティ対策を効果的に回避します。この手法は、正規のソフトウェア機能を秘密裏の実行チャネルとして悪用するという、ますます深刻化する傾向を浮き彫りにし、サイバーセキュリティ対策におけるユーザーの意識向上と行動監視の必要性を強調しています。
