サイバーセキュリティ研究者たちは、パキスタンの人々を標的にした新たなフィッシングキャンペーンを特定し、その詳細を明らかにした。このキャンペーンは、PHANTOM#SPIKEと名付けられ、未知の脅威アクターが軍事関連のフィッシングドキュメントを利用して感染シーケンスを活性化させている。攻撃者は、パスワードで保護されたペイロードアーカイブを含むZIPファイルを使用してマルウェアを展開している。このキャンペーンは、その単純さと簡単なペイロードを使用して対象のマシンへのリモートアクセスを実現する点で注目される。電子メールメッセージには、2024年8月中旬にモスクワで開催される予定の国際軍事技術フォーラム「Army 2024」に関連する会議の議事録であるとされるZIPアーカイブが添付されている。ZIPファイル内には、Microsoft Compiled HTML Help (CHM) ファイルと隠された実行可能ファイル(“RuntimeIndexer.exe”)が含まれており、前者を開くと議事録と数枚の画像が表示されるが、ドキュメント内のどこかをクリックすると同梱されたバイナリがこっそり実行される。この実行可能ファイルはバックドアとして機能し、TCP経由でリモートサーバーとの接続を確立し、その後実行されるコマンドを取得する。システム情報の送信、cmd.exeを介したコマンドの実行、操作の出力の収集、そしてそれをサーバーに送り返すことを含む。これには、systeminfo、tasklist、ip-api[.]comを使用して公開IPアドレスを抽出するcurl、持続性を設定するschtasksなどのコマンドの実行が含まれる。このバックドアは、コマンドラインベースのリモートアクセストロイの木馬(RAT)として機能し、攻撃者に感染システムへの持続的で隠密かつ安全なアクセスを提供する。リモートでコマンドを実行し、結果をC2サーバーにリレーする能力により、攻撃者は感染システムを制御し、機密情報を盗み出すか、追加のマルウェアペイロードを実行することができる。
【ニュース解説】
パキスタンのユーザーを標的にした新たなフィッシングキャンペーンが発見されました。このキャンペーンは、PHANTOM#SPIKEと名付けられ、未知の脅威アクターが軍事関連のフィッシングドキュメントを利用してマルウェアの感染を引き起こす手法を採用しています。攻撃者は、パスワードで保護されたペイロードを含むZIPファイルを使用し、その中にはMicrosoft Compiled HTML Help (CHM) ファイルと隠された実行可能ファイルが含まれています。ユーザーがこのドキュメントを開き、画像をクリックすると、バックドアが機能し、リモートサーバーとの接続を確立します。このバックドアは、攻撃者によるシステム情報の収集、コマンドの実行、そしてその結果の外部への送信を可能にします。
このキャンペーンの特徴は、その単純さと、簡単なペイロードを使用してリモートアクセスを実現する点にあります。しかし、この手法は、攻撃者が感染システムを完全に制御し、機密情報を盗み出すか、追加のマルウェアを実行する能力を持つことを意味します。このような攻撃は、個人のプライバシー侵害や組織のセキュリティ侵害につながる可能性があります。
このキャンペーンが示すように、フィッシング攻撃は依然としてサイバーセキュリティの大きな脅威であり、攻撃者は常に新しい手法を模索しています。このため、ユーザーは電子メールの添付ファイルやリンクを開く際には常に警戒し、不審なメールには注意を払う必要があります。また、組織は従業員に対してサイバーセキュリティ教育を提供し、定期的なセキュリティアップデートとパッチの適用を徹底することが重要です。
このキャンペーンから学ぶべき教訓は、サイバーセキュリティが常に進化している分野であるということです。攻撃者と防御者の間の継続的な「武器競争」は、新しい技術の開発と既存のセキュリティ対策の強化を促します。このような攻撃を未然に防ぐためには、最新の脅威情報に基づいた予防策と迅速な対応が不可欠です。
from Military-themed Email Scam Spreads Malware to Infect Pakistani Users.
