ハッカーが世界的な主要証券取引所の上級幹部のメールアカウントに不正アクセスし、数か月にわたってデータを窃取していたことが明らかになりました。
ブロードコムのシマンテックおよびCarbon Black脅威ハンティングチームが調査したこの攻撃は2025年10月に開始され、脅威アクターは侵害されたOutlookメールボックスへのアクセスを2026年3月まで維持し続けました。セキュリティ専門家は、滞在期間(ドウェルタイム)をおよそ150日と推定しています。
この作戦の目的はスパイ活動である可能性が高いとみられますが、シマンテックとCarbon Blackは、攻撃の背後に誰がいるか、またどの証券取引所が標的になったかについての情報は公開していません。
「スパイ活動を行う攻撃者にとって、上級幹部のメールボックスは価値の高いインテリジェンス標的です。Outlookのプロフィールからは、対外交渉の詳細、社内の審議内容、幹部のカレンダー、移動パターン、さらには連絡先まで入手できる可能性があります」と研究者たちは述べています。
「取引所や規制当局などの組織は、上場情報、執行措置、市場を動かすイベントに関する非公開情報を保有している場合があります。そのメールボックスへ数か月にわたって自由にアクセスできれば、攻撃者はネットワーク内の他の場所に横展開することなく、ターゲットの業務上の実態と組織の近い将来の方向性についてほぼ完全な全体像を把握することができます」とも指摘しています。
最初の侵入経路は依然不明ですが、悪意ある活動の最初の兆候は2025年10月10日に確認されており、その時点ではすでにマルウェアが侵害されたホスト上でAdobe製品やOneDriveアプリケーションに偽装して動作していました。
11月12日にはコマンド&コントロール(C&C)チャネルが確立され、攻撃者はこの時点からデータの収集と窃取を開始しました。
不審を持たれないよう、攻撃者はDropboxとOneDriveを使ってファイルを外部に転送し、一度に送り出すデータ量を少量に抑える手法を取っていました。
「観測された5か月間の累積効果は、ユーザーのOutlookメールボックスのほぼ継続的な完全窃取であり、セキュリティソフトウェアに検知されない程度の小さなアーカイブに細分化して実行されていました」と研究者たちは説明しています。
攻撃者は持続的なアクセス維持にも継続的に取り組み、Adobe、Lenovo、OneDriveのシステムサービスに偽装したタスクを定期的に再登録することでアクセスを確保し続けていました。
シマンテックとCarbon Blackは、他の組織が潜在的な攻撃を検出できるよう、侵害の痕跡(IoC)を公開しています。
翻訳元: https://www.securityweek.com/hackers-target-global-stock-exchange-in-espionage-operation/
