ロシアの脅威アクターが暗号通貨をエニグママルウェアで標的に

ロシアの脅威アクターが、偽の求人を使用して暗号通貨業界で働く東欧の人々を標的にするキャンペーンを展開しており、エニグマという改良版のStealariumマルウェアで働くプロフェッショナルを感染させることを目的としています。

現在、悪意のある活動を追跡しているセキュリティ会社Trend Microによると、脅威アクターは不明なローダーを使用し、それが古いインテルドライバの脆弱性を利用してWindows Defenderのトークン整合性を低下させ、その保護を回避します。

フィッシング攻撃と同様に、これは偽の求人を装ったメールから始まり、ターゲットを誘惑しようとします。メールにはRAR添付ファイルがあり、TXT、Interview questions.txt、および実行可能ファイルであるinterview conditions.word.exeが含まれています。

読む: 新しいロイヤルトロイの木馬の変異体が発見され、VMware ESXi仮想マシンを標的に

メール内のテキストファイルには、キリル文字で書かれた質問が含まれており、信憑性を持たせるためにうまく書かれています。ターゲットが騙されて実行可能ファイルを起動すると、一連のペイローダーがダウンロードされ、最終的にTelegramからエニグマと呼ばれる情報盗難マルウェアがインストールされます。

その後、最初のフェーズが始まり、DownloaderというC++ツールが使用され、文字列暗号化、APIハッシュ化、無関係なコードなどの手法を使用して検出を回避しながら、2番目のステージペイロードであるUpdateTask.dlllをダウンロードして実行します。

2番目のフェーズのペイロードもC++であり、Bring Your Own Vulnerable Driverメソッドを使用してCVE-2015-2291インテルドライバの脆弱性を悪用します。この脆弱性により、カーネルアクセスでコマンドを実行できます。

また、脅威アクターはこの欠陥を悪用して、マルウェアが3番目のフェーズのペイロードをダウンロードする前にWindows Defenderを無効にします。

3番目のフェーズは、最終ペイロードであるエニグマ情報盗難者をプライベートTelegramチャンネルからダウンロードすることで始まります。セキュリティ会社によると、これは他の情報盗難マルウェアであるStealariumの改良版です。

情報盗難マルウェアは、Google Chrome、Operaなどのウェブブラウザに保存されたパスワードやトークンを標的にします。さらに、Telegram、Microsoft Outlook、Signalなどに保存されたデータも標的にします。情報盗難マルウェアは、感染したデバイスからスクリーンショットを取得し、クリップボードに保存されたデータを外部に送信します。

最後に、すべてのデータはZIPファイル（Data.zip）に圧縮され、Telegramを介して脅威アクターに送信されます。マルウェアの文字列の一部、例えばジオロケーションAPIサービスは、AESアルゴリズムで暗号化され、サイファーブロッキングチェイニングモードで不正な改ざんを防止します。

セキュリティ会社は攻撃を自信を持って特定していませんが、攻撃に使用されたログサーバーの1つがロシアのサイバー犯罪フォーラムで人気のあるAmaday C2パネルをホストしていることを示すいくつかの事実を発見しました。

読む: Mimicランサムウェアが「すべて」のAPIを使用して英語とロシア語のWindowsユーザーを標的に