攻撃者が大規模障害の混乱に乗じて偽マニュアルや偽復旧ツールを拡散
CrowdStrike製品が導入されているWindows端末で発生した大規模障害に伴い、攻撃者が偽のマニュアルや関連プログラムを装ったマルウェアを展開する攻撃が多発しています。この状況において、出所が不明瞭な情報に対する警戒が重要です。
マイクロソフトの復旧マニュアルを偽装した攻撃
この攻撃では、悪意のあるマクロを含んだ「Wordファイル」を使用します。このファイルにはBase64でエンコードされたDLLファイルが含まれており、実行されるとWindowsの`certutil`コマンドを使用してデコードされます。最終的に、マルウェア「Daolpu」がシステムに感染します。「Daolpu」は、ChromeやFirefoxのログインデータやCookieなどを収集し、外部のC2サーバーに送信する情報窃取マルウェアです。このマルウェアは、感染したシステムの`%TMP%\result.txt`に収集したデータを保存し、後に攻撃者に送信する際に削除されます。
CrowdStrikeを装ったフィッシング攻撃
さらに、攻撃者はCrowdStrikeを装い、悪意のある「zipファイル」や「RARファイル」を送信するフィッシング攻撃も行っています。これらの圧縮ファイルには、情報窃取マルウェア「Lumma Stealer」が含まれており、内部には見た目上は無害なインストーラが含まれています。Lumma Stealerは、ブラウザからパスワードやクレデンシャル情報を盗み出します。
ビッシング攻撃の増加
また、スパムやMicrosoft Teamsを介して「ヘルプデスク」オペレーターを装い、音声通話を用いたフィッシング(ビッシング)でマルウェアを拡散する攻撃も確認されています。これらの攻撃は、同じコマンド&コントロールサーバーを使用しており、CrowdStrikeでは関連する攻撃と分析しています。
Pythonで開発されたConnecioマルウェア
Pythonで開発されたConnecioマルウェアは、情報窃取を目的とした高度なマルウェアです。主にフィッシングキャンペーンを通じて配布され、偽のCrowdStrike Falcon.exeファイルを含むZIPファイルとして提供されます。このマルウェアは、システム上で動作する際にWindows Defenderを無効化し、その後、ChromeやFirefoxなどのブラウザからログイン情報やCookieを収集します。これらのデータは、攻撃者のコントロール下にある外部サイトに送信されます。Connecioの活動の一部として、`Readme`ファイルに「Windows Defender」を無効化する手順が記載されており、これによりシステムの防御を低下させます。
どうやってDefenderが無効化されるのか
PowerShellスクリプトの使用:Connecioは、以下のPowerShellコマンドを実行してWindows Defenderのリアルタイム保護を無効化します。
Set-MpPreference -DisableRealtimeMonitoring $true
レジストリの変更:レジストリを操作することで、Defenderのアンチスパイウェア機能を無効化します。この操作は、以下のコマンドで実行されます。
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 1
コマンドプロンプトの使用:Connecioは以下のコマンドを実行してDefenderのサービスを停止し、無効化します。
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 1
`Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 1`というコマンドは、Windows Defenderのアンチスパイウェア機能を無効化するために使用されるPowerShellコマンドです。このコマンドのメカニズムを詳しく説明します。
レジストリの役割
Windowsのレジストリは、OSやアプリケーションの設定情報を格納する階層構造のデータベースです。特定の設定を変更するためには、適切なレジストリキーにアクセスして値を設定する必要があります。
コマンドの構成
`Set-ItemProperty`コマンドレットは、指定したパスのレジストリキーに新しい値を設定するために使用されます。このコマンドの各部分の役割を以下に説明します。
Set-ItemProperty
PowerShellコマンドレットで、指定したパスの項目のプロパティを設定します。
-Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender"
`-Path`パラメータは、対象となるレジストリキーのパスを指定します。
`HKLM`は`HKEY_LOCAL_MACHINE`を示し、ローカルマシン全体に適用される設定を指します。
`SOFTWARE\Policies\Microsoft\Windows Defender`は、Windows Defenderの設定が格納されているレジストリキーのパスです。
-Name "DisableAntiSpyware"
`-Name`パラメータは、設定するプロパティの名前を指定します。
`"DisableAntiSpyware"`は、Windows Defenderのアンチスパイウェア機能を無効化するための設定項目です。
-Value 1
`-Value`パラメータは、プロパティに設定する値を指定します。
`1`は、この機能を無効にすることを意味します。通常、`0`は有効、`1`は無効を意味します。
メカニズム
このコマンドが実行されると、以下のような処理が行われます。
レジストリキーの検索
指定されたパス`HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender`が検索されます。このキーが存在しない場合は、新たに作成されます。
プロパティの設定
`DisableAntiSpyware`という名前のDWORD値が設定されます。この値が既に存在する場合は、新しい値`1`に更新されます。存在しない場合は、新たに作成されます。
機能の無効化
`DisableAntiSpyware`の値が`1`に設定されることで、Windows Defenderのアンチスパイウェア機能が無効化されます。この設定は次回のシステム再起動時またはWindows Defenderサービスの再起動時に適用されます。
注意点
管理者権限: このコマンドを実行するには、管理者権限が必要です。適切な権限がない場合、エラーが発生します。
セキュリティリスク: Windows Defenderの無効化は、システムのセキュリティを低下させるため、慎重に行う必要があります。正当な理由がない限り、この操作は避けるべきです。
参考文献
特定の組織を狙った標的型攻撃
ばらまき型攻撃に限らず、特定の組織を狙った標的型攻撃も発生しています。ドイツの組織を装ったウェブサイトでは、「CrowdStrike Crash Reporter」のインストーラを偽装した悪意あるファイルが配布されていました。このウェブサイトにはダウンロードボタンが設置され、見た目には無害なコードが装われていましたが、クリックすると悪意あるインストーラがダウンロードされる仕組みです。
CrowdStrikeからの注意喚起
CrowdStrikeは当初から、正規のルートで情報を確認するよう注意を呼びかけています。今回の障害に限らず、災害や感染症を含む社会的な混乱時に、人々を狙ってフィッシング攻撃やマルウェアの拡散が行われる手口は以前から確認されています。
フィッシングなどは見た目だけでは真贋を判定することが難しいケースが多く、フェイク情報を作成する能力が向上していることもあり、より警戒が必要です。専門家や関連機関は、メールのURLからアクセスするのではなく、一次情報がある当事者のウェブサイトへ直接アクセスすることの重要性を強調しています。
このような攻撃の防止には、ユーザーの警戒心と適切なセキュリティ対策が不可欠です。
この記事が気に入ったらサポートをしてみませんか?