フォローする 
概要
DHL を装ったフィッシングメールが、受信者を PDF 添付ファイルに誘導し、そこにボタンをクリックするよう指示しました。そのボタンは、侵害されたベトナムの物流ウェブサイトからの悪意のある .scr ファイルのダウンロードに導きました。実行されると、このファイルは署名された SimpleHelp リモートアクセスツールをインストールし、攻撃者が被害者のマシンに持続的にリモートアクセスを確立できるようにしました。
調査
このレポートによれば、フィッシングメールは信頼性を高めるために Yahoo の正当なサービスにホストされた画像を利用し、信用のおけるソースを模倣するために偽装された送信者アドレスに依存していました。ダウンロードされた .scr ファイルは変更された SimpleHelp リモート管理インストーラーとして特定されており、実行前に UAC プロンプトを誘発しました。インストール後、このソフトウェアは攻撃者が制御するインフラストラクチャとアウトバウンド通信を開始し、コマンドを受け取って侵害されたシステムを制御し続けました。
緩和策
組織はユーザーに送信者のアドレスを注意深く確認し、不審なファイルの拡張子に注意を払うよう訓練すべきです。可能な限り多要素認証を有効化し、最新のウェブフィルタリング機能を備えたエンドポイントプロテクションを展開して悪意のあるコンテンツをブロックすべきです。また、防御側は特定された悪意あるドメインをブロックし、環境全体で未承認の SimpleHelp 活動を監視してください。
対応策
このアクティビティが検出された場合、影響を受けたエンドポイントを即座に隔離し、SimpleHelp プロセスを終了し、 .scr ファイルをホストから削除してください。調査者はその後、フォレンジック分析を行い、侵害に関連する追加のアーティファクトや後続活動を特定するべきです。侵害されたシステムで使用されたすべての資格情報をリセットし、将来的に同様のフィッシングの誘惑に対する露出を減らすためにメールセキュリティルールを強化する必要があります。
"graph TB %% クラス定義 classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% ノード action_phishing["<b>アクション</b> – フィッシングキャンペーン"] class action_phishing action tech_T1566_001["<b>テクニック</b> – T1566.001 フィッシング: スピアフィッシング添付ファイル<br/><b>説明</b>: 悪意のある添付ファイルを含む標的型フィッシングメール。"] class tech_T1566_001 technique file_pdf["<b>ファイル</b> – 悪意のある PDF 添付ファイル (DHL を偽装)"] class file_pdf file action_user_exec["<b>アクション</b> – 悪意あるファイルのユーザー実行"] class action_user_exec action tech_T1204_002["<b>テクニック</b> – T1204.002 ユーザー実行: 悪意のあるファイル<br/><b>説明</b>: ユーザーが悪意のあるファイルを開いたり実行したりする。"] class tech_T1204_002 technique file_scr["<b>ファイル</b> – AWB-Doc0921.scr がダウンロードされ実行"] class file_scr file tech_T1553_002["<b>テクニック</b> – T1553.002 信頼コントロールの妨害: コード署名<br/><b>説明</b>: 敵対者は盗まれたまたは偽造されたコード署名証明書を使用して悪意あるファイルに署名する。"] class tech_T1553_002 technique tech_T1036_008["<b>テクニック</b> – T1036.008 正体偽装: ファイルタイプの偽装<br/><b>説明</b>: ファイルは別のタイプとして名前が変更されるか、提示されて防御を回避する。"] class tech_T1036_008 technique malware_simplehelp["<b>マルウェア</b> – SimpleHelp リモートアクセスツール"] class malware_simplehelp malware tech_T1219["<b>テクニック</b> – T1219 リモートアクセスツール<br/><b>説明</b>: 侵害されたホストを制御するためのリモートアクセスツールの使用。"] class tech_T1219 technique tech_T1071_001["<b>テクニック</b> – T1071.001 アプリケーションレイヤープロトコル: ウェブプロトコル<br/><b>説明</b>: コマンド゠アンド゠コントロール通信に HTTP/HTTPS を使用する。"] class tech_T1071_001 protocol tech_T1133["<b>テクニック</b> – T1133 外部リモートサービス<br/><b>説明</b>: 侵害されたシステムにアクセスするための正当なリモートサービスの使用。"] class tech_T1133 technique %% 構成 action_phishing –>|使用| tech_T1566_001 tech_T1566_001 –>|提供| file_pdf file_pdf –>|トリガー| action_user_exec action_user_exec –>|使用| tech_T1204_002 tech_T1206_002 –>|実行| file_scr file_scr –>|署名| tech_T1553_002 tech_T1553_002 –>|有効化| tech_T1036_008 tech_T1036_008 –>|導く| malware_simplehelp malware_simplehelp –>|使用| tech_T1219 malware_simplehelp –>|通信| tech_T1071_001 malware_simplehelp –>|アクセス| tech_T1133 "