Elasticsearchはこのほど、「Dipping into Danger: The WARMCOOKIE backdoor - Elastic Security Labs」において、新しいWindows向けバックドア「WARMCOOKIE」を発見したと報じた。このマルウェアは現在進行中のフィッシングキャンペーンを通じて配布されているとして、注意を呼びかけている。Dipping into Danger: The WARMCOOKIE backdoor - Elastic Security Labs

○侵害経路Elasticsearchにより特定された今回のキャンペーンでは、人材紹介会社を装った偽のフィッシングメールが使用されるという。メールには標的個人の名前や雇用主の名前が記載され、説得力の高い内容になっている。本文には「求人情報を表示する」と書かれたリンクがあり、クリックすると偽の求人情報ページが表示される。フィッシングメールの例 引用:Elasticsearch偽の求人情報ページにはロボットを排除するためのCAPTCHAが設置されている。これには、セキュリティ企業の自動検出ロボットを排除しつつ、被害者に正規サイトの印象を与える目的があるとみられる。被害者がCAPTCHAを入力して先に進むと悪意のある難読化されたJavaScriptがダウンロードされる。偽の求人情報ページの例 引用:ElasticsearchこのJavaScriptを実行すると悪意のあるPowerShellスクリプトが実行され、バックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用してバックドア「WARMCOOKIE」がダウンロード、実行される。侵害経路 引用:Elasticsearch○バックドア「WARMCOOKIE」の実体Elasticsearchの分析によると、WARMCOOKIEには次の機能があるという。タスクスケジューラーを使用した永続性の確保とシステム権限の取得文字列の暗号化による分析妨害アンチデバッグ機能システム情報およびユーザー情報の窃取スクリーンショットの窃取インストールされたアプリケーション一覧の窃取任意のコマンドの実行ファイルの読み書き○対策このキャンペーンでは攻撃にフィッシングメールを用いる。そのため、メールの内容に不審な点がないか、リンクやWebブラウザに表示されるURLが人材紹介会社の正規のドメインかを確認することが推奨される。ElasticsearchはWARMCOOKIEを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。