複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) Vampire Bot Malware

Vampire Bot Malware

高度な持続的脅威 (APT), マルウェアMezoまで
翻訳内容:

BatShadowとして追跡されているベトナム語圏の脅威アクターは、求職者やデジタルマーケティング担当者を誘い込み、これまで文書化されていないGo言語ベースのマルウェアをインストールさせる標的型攻撃を展開しています。研究者たちはこのマルウェアを「Vampire Bot」と呼んでいます。このグループはリクルーターを装い、一見正当な求人情報や企業向けPDFを配布します。これらのPDFにユーザーがアクセスすると、多段階の感染チェーンが引き起こされ、遠隔監視やデータ窃盗が可能になります。

ソーシャルエンジニアリングとルアー配信

攻撃者は、採用情報を装ったメッセージとZIP形式の添付ファイルを作成し、偽装PDFファイルと、悪意のあるショートカット(LNK)またはPDFに偽装した実行ファイルを組み合わせています。これらの文書は、標的のユーザーにとっての信頼性を高めるために、特にマーケティング職種を対象としています(あるルアーはマリオットのマーケティング職に言及していました)。被害者は求人情報を「プレビュー」またはダウンロードするよう促され、そこから多段階の攻撃シーケンスが開始されます。

感染連鎖の進行

ZIPパッケージには、埋め込まれたPowerShellスクリプトを実行する悪意のあるLNKファイルが含まれています。このスクリプトは外部サーバーに接続し、ルアーPDFと、XtraViewer(リモートデスクトップソフトウェア)関連ファイルを含む別のZIPバンドルを取得します。XtraViewerコンポーネントが実行され(おそらくは永続性またはリモートアクセスを確立するため)、Go実行ファイルが展開されるまでこの連鎖が継続されます。

エッジリダイレクトの悪用

このキャンペーンの重要な手口は、偽の「サポートされていないブラウザ」エラーを表示するランディングページです。このエラーは、被害者にURLをコピーしてMicrosoft Edgeで開くよう指示します。スクリプトによるリダイレクトは最新のブラウザでブロックされることが多いため、攻撃者はユーザーに手動操作(Edgeへのコピー&ペースト)を促し、それをユーザーによる操作とみなしてダウンロードフローを続行させます。Edgeでページを開くと、PDFが圧縮されて「デバイスに送信されました」という偽のエラーが表示され、自動的にZIPダウンロードが開始されます。

ペイロードとデコイの命名トリック

自動ダウンロードされるZIPファイルには、求人情報を装ったファイルと、PDFファイルのような名前(例:「Marriott_Marketing_Job_Description.pdf.exe」)を持つ悪意のある実行ファイルが含まれています。この実行ファイルはファイル名にパディング(「.pdf」と「.exe」の間に余分なスペースを挿入)を使用しているため、一部のビューではPDFファイルのように見え、被害者が実行する可能性が高くなります。

ヴァンパイアボットの機能

ドロップされた実行ファイルは、Vampire Botと呼ばれるGo言語バイナリです。確認された機能は以下のとおりです。

  • 感染したホストを列挙しプロファイリングする
  • 広範囲にわたるデータ(認証情報ストア、ファイルなど)を盗む
  • 設定可能なスケジュールでスクリーンショットを撮る
    そして
  • 攻撃者のサーバー (api3.samsungcareers.work として報告) とのコマンドアンドコントロール通信を維持し、コマンドを受信したり、追加のペイロードをダウンロードしたりします。

帰属とインフラストラクチャ

アナリストは、インフラの再利用(例えば、ベトナム関連の攻撃者と以前関連付けられていたIPアドレス(103.124.95.161))と標的パターンに基づき、この活動をベトナムと関連付けています。BatShadowは以前にもデジタルマーケティングの専門家を標的としており、Facebook Businessの資産を乗っ取るスティーラーを展開することで知られる、金銭目的のベトナム人グループと重複しています。このグループは少なくとも1年間活動していたと見られ、これまでにsamsung-work.comなどのドメインを使用して、Agent Tesla、Lumma Stealer、Venom RATなどのマルウェアファミリーを拡散していました。また、2024年10月には、同様の罠を仕掛けた求人情報ファイルを介してQuasar RATを拡散するキャンペーンを実施しました。

なぜ攻撃は効果的なのか?

BatShadowは、業界関連のルアー(求人広告など)、ファイル名のトリック、段階的なペイロード(単純なファイルスキャンを回避するため)、そしてスクリプトによるリダイレクト保護を回避するためにブラウザで手動操作を強制するフローを組み合わせています。ソーシャルエンジニアリングと多段階の技術的手順の組み合わせにより、侵入が成功し、長期的なアクセスが確保される可能性が高まります。

結論

BatShadowのキャンペーンは、段階的かつ巧妙な技術的連鎖と組み合わせることで、標的型ソーシャルエンジニアリングがいかに効果的であるかを如実に示しています。頻繁に採用活動を行う組織や応募者のトラフィックを扱う組織、そしてオンライン資産を管理するデジタルマーケティングの専門家は、メールや添付ファイルの取り扱いを強化し、厳格な実行制御を適用し、採用関連の添付ファイルは検証されるまで高リスクとして扱うべきです。

トレンド

オーギバー.co.in

不正なウェブサイト, ブラウザハイジャッカー
Auggiver.co.in は、操作的な戦略を利用してユーザーにプッシュ通知を購読するよう圧力をかける詐欺的な Web サイトです。その後、Web サイトは、ユーザーのコンピュータまたはデバイスに一方的な通知を大量に送信する機能を獲得します。 Auggiver.co の背後にある中心的な意図。ブラウザに統合されたプッシュ通知システムを悪用することです。このアプローチは、疑いを持たない個人の...

メールボックスのバージョンが廃止される詐欺

フィッシング, スパム
オンライン詐欺師は、ユーザーを騙して貴重なデータを盗むための新たな手口を常に開発しています。その一例が「メールボックスのバージョンは廃止されます」という詐欺です。これは、何も知らない被害者からログイン認証情報を取得することを目的としたフィッシング詐欺です。サイバーセキュリティの専門家は、これらの詐欺メッセージは、正当な企業、組織、またはサービスプロバイダーとは一切関係がないと警告しています。 サービスアラートを装った詐欺メール この詐欺は、信頼できるメールサービスプロバイダーを装った、巧妙に作成されたメールから始まります。メッセージは、受信者に対し、メールボックスのバージョンがまもなく廃...

Cleancaptcha.top

不正なウェブサイト, ブラウザハイジャッカー
Cleancaptcha.topは、手に負えない方法でオペレーターに金銭的利益をもたらすことを目的としています。その点で、同じ目的に捧げられ、同様のクリックベイト戦術を利用している他の無数のページとほとんど区別がつきません。ユーザーがこれらの疑わしいサイトに進んでアクセスすることはめったになく、強制的なリダイレクトの結果としてそこに移動します。 Cleancaptcha.topで発生した主な...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
54,103
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
41,015
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
39,798
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...