「グラスコール」 マルウェアキャンペーン これは、「Crazy Evil」と呼ばれるロシア語圏のサイバー犯罪組織が実行した高度なソーシャルエンジニアリング攻撃であり、そのサブグループ「kevland」が主導しています。この攻撃は、特に仮想通貨およびWeb3分野の求職者を標的とし、偽の就職面接を装って被害者のシステムに侵入し、仮想通貨資産を盗み出します。
この詐欺の被害に遭った人は数百人おり、中には攻撃で財布が空になったという報告もある。
背後にいる脅威アクターの概要:
「Crazy Evil」は、2021年の設立以来急速に進化を遂げ、デジタル資産を標的とする最も活発なグループの一つとなったロシア語圏のサイバー犯罪組織です。このグループは、個人情報詐欺、暗号通貨の窃盗、情報窃取マルウェアの拡散を専門としています。彼らの活動は、洗練されたソーシャルエンジニアリング戦術を特徴としており、多くの場合、「トラファー」と呼ばれるソーシャルエンジニアリングの専門家が、正規のトラフィックを悪意のあるサイトにリダイレクトします。 フィッシング詐欺 ページ
感染チェーン:
攻撃戦術とアプローチ:
偽の企業を装う:攻撃者は「ChainSeeker.io」のような架空の企業を設立し、プロフェッショナルなウェブサイトとLinkedInやX(旧Twitter)などのソーシャルメディアプラットフォーム上でアクティブなアカウントを開設します。そして、LinkedIn、Well-found、Crypto Jobs Listといった評判の良い求人サイトに質の高い求人広告を掲載し、疑いを持たない応募者を誘い込みます。
ソーシャル メディア プラットフォームでの求人広告:
フィッシング詐欺:ソーシャルメディア上の求人広告に応募した応募者は、最高マーケティング責任者(CMO)や最高財務責任者(CFO)といった企業幹部との面接に招待するメールを受け取ります。その後、会話はTelegramに移行し、なりすましたCMO/CFOがさらなる指示を出します。
掲載された求人に応募した後に受信したメール:
会話は Telegram に移行し、候補者は Calendly を使用して通話をスケジュールするよう招待され、適切な時間枠を選択できるようになります。
候補者が選択した時間枠内で電話の予定を組んだ後、CMO または CFO が事前に連絡を取り、追加の詳細を提供します。
通話の直前に、CFO/CMO が候補者に連絡し、共有パスコードを使用して通話に参加するよう依頼します。
悪意のあるソフトウェアの展開:偽のCMOは、候補者に対し、特定のウェブサイト(例:「grasscall[.]net」)から「GrassCall」というビデオ会議アプリケーションをダウンロードするよう指示します。ダウンロードするには、Telegramでの会話中に提供されたコードが必要です。ウェブサイトは訪問者のオペレーティングシステムを検出し、対応する悪意のあるクライアントソフトウェアを提供します。
最近継続中の調査で、攻撃者がプラットフォームを https://vibecall[.]app/ にリブランドしたことが判明しました。
ここで、候補者が会議に参加するためのパスコードを入力すると、OS に基づいて GrassCall.exe がダウンロードされます。
Windowsユーザー:「GrassCall.exe」をインストールすると、Rhadamanthysのような情報窃取プログラムと組み合わせたリモートアクセス型トロイの木馬(RAT)が展開されます。これらの悪意のあるツールにより、攻撃者は継続的なアクセスを維持し、キー入力を記録し、暗号通貨ウォレットの認証情報などの機密データを抽出することができます。
Mac ユーザー: 「GrassCall_v.6.10.dmg」をインストールすると、macOS デバイスから機密データを収集するために特別に設計されたツールである Atomic macOS Stealer (AMOS) がアクティブ化されます。
GrassCall.exe/VibeCall.exe のテクニカル分析:
VibeCall.exe はインストーラーとして機能する64ビット実行ファイルですが、本質的には悪意のあるものです。実行されると、Rhadamanthys マルウェアのインストールと展開を試みます。Rhadamanthys は、ログイン認証情報、金融情報、システム詳細などの機密データを収集するように設計された、高度な情報窃取型トロイの木馬です。
実行されると、Add-MpPreferenceコマンドが実行され、Microsoft Defenderに除外パスが追加されます。具体的には、以下のすべてのファイルを除外します。 C: ドライブ上のすべてのファイルとフォルダを完全にバイパスするようになり、 C: スキャン中に、除外されたドライブ内で発生する悪意のあるアクティビティを検出したり、対処したりするDefenderの機能が事実上無効になります。
複数のラダマンティスをダウンロードしようとする マルウェア サンプルを採取し、実行を試みます。
hxxp[:]//rustaisolutionnorisk[.]com/downloads/contry_solution_vibecall_e.exe 4b371777c2c638c97b818057ba4b0a2de246479776eaaacebccf41f467bb93c3
hxxp[:]//rustaisolutionnorisk[.]com/downloads/aisolution_vibecall_a.exe f2e8f1f72abbc42f96c5599b8f27f620d91ae1680aa14b4f0bbf3daabd7bee30
hxxp[:]//rustaisolutionnorisk[.]com/downloads/soundsolution_vibecall_c.exe d23f79f9b7e1872d4671a18aa85b810c0cec2e0f5ce07c2cf99ed39f8936c8fb
hxxp[:]//rustaisolutionnorisk[.]com/downloads/videosolution_vibecall_b.exe 386b61ccdd4b785c835a064179d5fa58dc0d5fe34970a04487968e1ee0189ce6
ダウンロードしたサンプルは C:/ユーザー/user/ドキュメント フォルダーを開いて実行しようとします。
Rhadamanthysマルウェアの分析
上記の Rhadamanthys マルウェアの 32 つ (videosolution_vibecall_b.exe) を分析したところ、シェルコードを含む XNUMX ビットでパックされたサンプルであることがわかりました。
開梱すると2つ見つかりましたnd 下の図に示す Rhadamanthys マルウェアのペイロード。
2nd ペイロード
sha256: 0160c14c3d84dcc5802a329a4d4bedcabd23b3a7761c1cd95d16bd0b7a7bb8eb
2つ目のペイロードには、コマンドアンドコントロール(CXNUMX)サーバーへの接続を確立しようとする設定ファイルが含まれていました。接続は次のURLに誘導されます。
hxxps://45.129.185.24:1896/22c0d31ace677b/digpu6k5.xditc
TTPS:
| T1566.002 | フィッシング: スピアフィッシング リンク |
| T1071.001 | アプリケーション層プロトコル:Webプロトコル |
| T1102.001 | ウェブサービス: ソーシャルメディア |
| T1199 | 信頼関係 |
| T1105 | 入力ツール転送 |
| T1059.001 | コマンドおよびスクリプトインタープリター: PowerShell/Windows コマンドシェル |
| T1204.002 | ユーザーの実行:悪意のあるファイル |
| T1547.001 | 起動またはログオン自動起動実行:レジストリ実行キー/スタートアップフォルダ |
| T1056.001 | 入力キャプチャ:キーロガー |
| T1567 | Web サービスを介した漏洩 |
| T1566.001 | フィッシング:スピアフィッシングアタッチメント |
予防措置:
- 求人情報を確認する: 求人情報とその提供企業の信頼性を常に確認してください。採用関連の連絡は、公式かつ検証済みのチャネルを利用して確実に行ってください。
- ダウンロードには注意してください: 特に一方的なやり取りで要求された場合は、不明なソースや検証されていないソースからのソフトウェアをインストールしないでください。
- 信頼できるセキュリティツールをインストールする: 信頼できるウイルス対策ソフトウェアとマルウェア対策ソフトウェアを活用して、システムを保護してください。 脅威.
- 定期的なシステムチェックを実施する: デバイス上で頻繁にスキャンを実行し、マルウェアやその他の潜在的に有害なファイルを検出して削除します。
検出されたIoC:
| ファイル名 | ハッシュ | Seqriteでの検出 |
| VibeCall.exe | b63367bd7da5aad9afef5e7531cac4561c8a671fd2270ade14640cf03849bf52 | Trojan.GrassCallCiR |
| ビデオソリューション_vibecall_b.exe | 386b61ccdd4b785c835a064179d5fa58dc0d5fe34970a04487968e1ee0189ce6 | Trojan.Rhadamanth.S35275351 |
| contry_solution_vibecall_e.exe | 4b371777c2c638c97b818057ba4b0a2de246479776eaaacebccf41f467bb93c3 | Trojan.Rhadamanth.S35275351 |
| aisolution_vibecall_a.exe | f2e8f1f72abbc42f96c5599b8f27f620d91ae1680aa14b4f0bbf3daabd7bee30 | Trojan.Rhadamanth.S35275351 |
著者:
ソウメン・ビルマ
ディキシット・アショクバイ・パンチャル
