Cato CTRLのサイバーセキュリティ研究者が、ブラジルの組織を標的とした現在進行中のフィッシングキャンペーンを発見しました。
攻撃者はカスタムマルウェアを展開するのではなく、「NinjaOne」という正規のリモート管理ツールをダウンロードさせる手口を用いています。
この手法は、現在の脅威環境における重大なトレンドを浮き彫りにしています。攻撃者はもはや、企業ネットワークへの侵入に高度で複雑な悪意のあるコードを必要としません。日常的なビジネスフローや信頼された正規ソフトウェアだけで、十分な足がかりを確保できるのです。
攻撃者は化学・先端素材分野を主要な標的としています。ただし、このキャンペーンは請求書・税務書類・取引先とのやり取りを日常的に扱うすべての人にとって脅威となります。
攻撃の入り口はフィッシングメールで、ユーザーはポルトガル語で作成されたリアルなウェブポータルへ誘導されます。
これらの偽ランディングページはブラジルの有名サービスを装っており、日常業務の一環として疑いを持たない従業員を巧みに罠にかけます。
ユーザーが最初のフィッシングリンクをクリックすると、一連のリダイレクトが正規のサードパーティインフラを通じて最終的な誘導先を隠蔽します。
攻撃者はSEFAZ(州税務当局)やReclame Aqui(消費者苦情プラットフォームとして広く知られるサービス)など、ブラジルの信頼されたサービスを模倣したドメインを使用しています。
これらのテーマは財務・調達・管理部門の日常業務に溶け込むため、非常に効果的です。
偽ポータルにアクセスした被害者は、保護されたビジネス文書にアクセスするためセキュリティ認証を完了するよう促されます。
攻撃者は「セキュアダウンロード」「税務書類」といった言葉で信頼感を演出します。しかし、ダウンロードボタンをクリックしてもPDFはダウンロードされません。
代わりに、サイトは隠しiframeを使用してNinjaOneのリモート監視・管理(RMM)インストーラーを密かにダウンロードさせます。偽装を維持するため、ファイル名は「DocumentoFiscal」のように税務書類を思わせる名前に巧みに変更されています。
catonetworksの調査によると、なぜここまでして正規のIT管理ツールをインストールさせるのでしょうか。NinjaOneはエンドポイント監視・ソフトウェア展開・リモートトラブルシューティング向けに設計された強力なエンタープライズプラットフォームです。
被害者のマシンにインストールすることで、攻撃者は侵害したシステムへの永続的なリモートアクセスを獲得します。
デジタル署名済みの商用ソフトウェアの陰に隠れながら、コマンドの実行・ファイル転送・追加ツールの展開を密かに行えるため、従来のセキュリティソリューションによる検出が格段に困難になります。
高度なアンチ解析手法を用いているにもかかわらず、攻撃者はネットワーク全体の把握を可能にする単純なオペレーションミスを犯していました。
複数の悪意あるドメインが直接アクセスした際に、まったく同一の地球をテーマにした壁紙画像を表示していたのです。この特定の画像ファイルを手がかりに、脅威ハンターたちは攻撃者が管理するドメインのより広いネットワークを発見しました。
この調査では、ブラジルのサイバー犯罪組織として知られるVenon RATが関与した過去のキャンペーンとの潜在的な関連性も明らかになっています。
注意: IPアドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無効化されています(例:[.])。MISP・VirusTotal・SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/fake-fiscal-docs-deploy-ninjaone/
