新しい Batshadow 脅威レポートを入手する、またはインタラクティブレポートを聞く
Aryaka Threat Research Labs は、ソーシャルエンジニアリングを利用して求職者やデジタルマーケティングの専門家を危険にさらすベトナムの脅威行為者 BatShadow による新たなキャンペーンを確認しました。攻撃者は採用担当者を装い、求人情報や企業文書を装った悪意のあるファイルを配布します。これらのファイルを開くと、私たちが「Vampire Bot」と呼んでいるGoベースのマルウェアの感染チェーンが起動します。
このキャンペーンは、プロのワークフローにおける信頼を悪用して、脅威行為者がどのように永続性を実現し、システムを監視し、機密情報を流出させるかを実証しています。
感染は通常、おとりPDFを含むZIPアーカイブと、誤解を招くような拡張子でマスクされた悪意のあるショートカットファイルや実行可能ファイルから始まります。この場合、悪意のあるファイルは隠されたPowerShellコマンドを実行し、被害者におとりPDFを表示すると同時に、バックグラウンドでマルウェアをサイレントにダウンロードしてインストールします。攻撃者はまた、ブラウザベースのトリックを使用し、被害者に特定のブラウザに切り替えるよう指示することで、内蔵の保護を回避し、ペイロードの配信を確実に成功させます。
実行されると、Vampire Botはホストの詳細なプロファイリングを行い、ユーザー名、ハードウェア識別子、オペレーティングシステムの詳細、特権レベル、インストールされているセキュリティ製品の情報を収集します。このデータは、攻撃者のインフラストラクチャに送信される前に暗号化されます。持続性を維持するため、マルウェアはシステムフォルダに自身を隠し、隠蔽された状態を維持するための属性を適用し、複数のインスタンスが実行されないようにミューテックスを作成します。
Vampire Botの中心的な機能は、継続的なデスクトップ監視です。このマルウェアは、設定可能な間隔でスクリーンショットをキャプチャし、WEBP フォーマットに圧縮して、暗号化されたチャネル経由で流出させます。また、永続的なC2ポーリングループを維持し、コマンドの実行や追加のペイロードのダウンロードなどの指示を受け取ります。タスクの結果はオペレーターに送信され、侵害されたシステムの完全なリモート・コントロールが可能になります。
BatShadowのこのような戦術の進化は、コモディティマルウェアに依存していた以前のグループから、より強力な持続性とステルス性を実現するために設計された、よりカスタマイズされたツールへのシフトを反映しています。BatShadowは、悪意のあるコードを使い慣れたアプリケーションのワークフローに組み込むことで、侵害を成功させる可能性を高めると同時に、検知される可能性を低くしています。この変化は、サイバーセキュリティ分野における継続的な警戒の必要性を強調しています。
最後に、Aryakaの脅威リサーチラボは、コミュニティパートナーと緊密に連携し、脅威インテリジェンスによって検出機能が強化されるようにしています。ルールセットを更新するために、Proofpoint Emerging Threatsの研究チームと責任を持って研究を公開しました。Emerging Threatsからの言及を含むこの共同作業は、進化するサイバー課題に取り組むサイバーセキュリティコミュニティの強さを浮き彫りにしています。
レポートを読む(英語)またはインタラクティブ・レポートを見る(英語