出典:Pernandi Imanuddin(Shutterstockより)
金銭目的の脅威アクターが、従来のフィッシング手法を覆し、被害者側から攻撃者に最初のメール連絡をさせる手法を取っています。
この詐欺では、攻撃者が企業ウェブサイトの「お問い合わせ」フォームを利用し、パートナーシップの提案や他のビジネス上の名目で連絡を取ります。そしてターゲットからの返信を待ちます。数週間にわたり、巧妙に作成されたプロフェッショナルなメールで信頼を築き、最終的に武器化されたzipファイルを送りつけます。
放棄・休眠ドメインの悪用
その中には悪意のある.lnkファイルが埋め込まれており、開くと「MixShell」と呼ばれるインメモリ型インプラントが展開されます。これはコマンド&コントロールや永続化の仕組みを備えています。このキャンペーンは「ZipLine」としてCheck Point Softwareが追跡しています。
攻撃者はメール送信時に、米国の正規企業名と一致するドメインやウェブサイトを使用しているケースが多く、計画的かつ効率的なキャンペーンであることが示唆されます。「注目すべきは、これらのドメインがZipLineキャンペーン開始よりもはるか前、2015年から2019年の間に登録されていたことです」とCheck Pointは今週のブログ記事で述べています。
「正規のビジネス履歴を持つ放棄または休眠ドメインを取得することで、攻撃者はセキュリティフィルターを回避し、ターゲット組織の信頼を得る可能性を大幅に高めています」とCheck Pointは述べています。これらのドメインは、長期間のDNS記録、ビジネスらしい名称、クリーンな評判を持つため、フィッシング活動の隠れ蓑として最適です。
創業者は執事?
入念な計画にもかかわらず、攻撃者が使用している偽の企業ウェブサイトは、すべて同じテンプレートから複製されたもののようで、内容・レイアウト・構造が全く同じです。また、どの「会社概要」ページにも、創業者とされる人物の同じ写真が使われていましたが、Check Pointの調査で、これは実際にはホワイトハウスの執事のストック画像であることが判明しました。
このキャンペーンは既に中小企業から大企業まで数十社に及んでいます。主な標的は産業用メーカー(機械、金属加工、部品製造など)ですが、ハードウェア、半導体、消費財、バイオテクノロジー、製薬会社もターゲットに含まれています。「この分布から、攻撃者は特定の業種に絞らず、資金力やサプライチェーンの重要性が高い業界全体に侵入経路を求めていることがうかがえます」とベンダーは指摘しています。
Check Pointによる悪意あるzipファイルの解析では、実際のPDFやDOCXファイルが含まれており、やり取りの内容(例:パートナーシップの提案、秘密保持契約、最近では社内AI影響評価など)に即したものとなっています。zipファイルは正規のプラットフォームサービス「Heroku」のサブドメイン上にホストされており、信頼性があるように見せかけています。
悪意あるペイロード
また、ファイル内には悪意のあるLNKショートカットが埋め込まれており、クリックするとPowerShellコマンドが実行されます。このコマンドはzipファイルの生データ内に隠された別のPowerShellスクリプトを探し出して抽出します。この隠されたスクリプトは完全にメモリ上で実行されるため、検知が困難です。例えばシステムレジストリを変更して、悪意あるペイロードが再起動のたびに再実行されるようにし、長期的な永続化を確立します。また、スクリプトは.lnkペイロードがアクティブかどうか定期的に確認し、動作していなければ再起動します。
Dark Readingへのコメントで、Check Point Researchの脅威インテリジェンスグループマネージャー、Sergey Shykevich氏は、このキャンペーンには注目すべき点が複数あると述べています。その一つは、攻撃者がターゲット側に最初のメール連絡をさせ、悪意ある行動に移る前に長期間にわたりメールのやり取りで信頼を築こうとする点です。また、攻撃手法からはビジネスプロセスへの深い理解もうかがえるとShykevich氏は述べています。
多くの場合、攻撃者は組織の「お問い合わせ」フォームから問い合わせを送信し、営業、オペレーション、ビジネスパートナーシップ担当の管理職を狙っているようです。これまで攻撃対象となった組織の規模や範囲が広いため、実際に誰が返信しているのかは明確ではないと同氏は述べています。
「高度なグループであれば、このような攻撃を実行できますが、通常のフィッシングキャンペーンよりもはるかに入念な準備が必要です」とShykevich氏は述べています。
進化し続ける脅威
ZipLineフィッシングキャンペーンは、サイバー犯罪者が人間の信頼を悪用するために戦術を絶えず進化させていることの好例です。最近の他の例としては、攻撃者が以前に侵害したサイト上にエラーメッセージを重ねて表示し、ユーザーに危険な操作をさせるClickFixキャンペーンなどがあります。
ZipLineキャンペーンでは、企業自身の「お問い合わせ」フォームを悪用して会話を始めることで、攻撃者が企業の正規のビジネスワークフローに自然に入り込むことができ、警戒されにくくなっています。「防御側にとって、ZipLineは、企業ウェブフォームのような一見無害なチャネルを含む受信コミュニケーション経路も初期アクセスの手段として悪用され得ることを思い出させるものです」とCheck Pointはブログ記事で述べています。「従来の単一メッセージ分析に依存した検知方法では、この脅威への対策としては不十分です。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/zipline-phishers-victims-email-first