Elasticsearchはこのほど、「Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs」において、新しいWindows向けバックドア「WARMCOOKIE」を発見したと報じた。このマルウェアは現在進行中のフィッシングキャンペーンを通じて配布されているとして、注意を呼びかけている。
-
Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs
侵害経路
Elasticsearchにより特定された今回のキャンペーンでは、人材紹介会社を装った偽のフィッシングメールが使用されるという。メールには標的個人の名前や雇用主の名前が記載され、説得力の高い内容になっている。本文には「求人情報を表示する」と書かれたリンクがあり、クリックすると偽の求人情報ページが表示される。
-
フィッシングメールの例 引用:Elasticsearch
偽の求人情報ページにはロボットを排除するためのCAPTCHAが設置されている。これには、セキュリティ企業の自動検出ロボットを排除しつつ、被害者に正規サイトの印象を与える目的があるとみられる。被害者がCAPTCHAを入力して先に進むと悪意のある難読化されたJavaScriptがダウンロードされる。
-
偽の求人情報ページの例 引用:Elasticsearch
このJavaScriptを実行すると悪意のあるPowerShellスクリプトが実行され、バックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用してバックドア「WARMCOOKIE」がダウンロード、実行される。
-
侵害経路 引用:Elasticsearch
バックドア「WARMCOOKIE」の実体
Elasticsearchの分析によると、WARMCOOKIEには次の機能があるという。
- タスクスケジューラーを使用した永続性の確保とシステム権限の取得
- 文字列の暗号化による分析妨害
- アンチデバッグ機能
- システム情報およびユーザー情報の窃取
- スクリーンショットの窃取
- インストールされたアプリケーション一覧の窃取
- 任意のコマンドの実行
- ファイルの読み書き
対策
このキャンペーンでは攻撃にフィッシングメールを用いる。そのため、メールの内容に不審な点がないか、リンクやWebブラウザに表示されるURLが人材紹介会社の正規のドメインかを確認することが推奨される。
ElasticsearchはWARMCOOKIEを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
