IRSおよび社会保障局(SSA)を装った大規模なフィッシング攻撃が、高度なPhaaS(Phishing-as-a-Service)プラットフォームによるものであることが明らかになりました。
「The Quarry」と名付けられたこのプラットフォームは、約200人のサイバー犯罪者に対して高度な回避型キャンペーンを実行するためのツール一式を提供しています。SOCRadarの脅威リサーチャーによると、このフィッシングエコシステムは実質的にマネージドサービスとして機能しているといいます。
少なくとも2025年4月から稼働しているこのツールキットは、米国の確定申告シーズンを悪用する形で誘導手口を絶えず更新しています。「RockyBelling」と名乗る一人の開発者が、専用のTelegramチャンネルを通じてエコシステム全体を運営しています。
購入者にはフィッシングキット、トラフィッククローキングインフラ、一斉メール配信ツール、リモートアクセスパネルなどを網羅した総合的な攻撃パッケージが提供されます。
このエコシステムは、初心者のサイバー犯罪者でも独立したキャンペーンを展開できるよう、参入障壁を大幅に引き下げており、外部の脅威アナリストからは互いに無関係に見える攻撃を可能にしています。
入門レベルのツールは500ドルから、完全にセットアップされたリモートアクセス環境は約2,000ドルに加え、月額メンテナンス費用がかかります。
The Quarryは複数フェーズで構成される攻撃チェーンを実行し、セキュリティスキャナーや研究者を積極的に排除します。まず専用のメール配信ツールを使って税務関連を装ったフィッシングメールを大量送信することから始まります。
被害者が悪意あるリンクをクリックすると、サーバーはただちにブラウザのユーザーエージェントを確認し、Windows以外のデバイスからのアクセスは無害なエラーページへリダイレクトされます。
これにより、実際に攻撃対象となりうるデスクトップユーザーのみが最終的なペイロードの配布先へ誘導される仕組みになっています。
さらに検出を回避するため、このツールキットはAdspectによるトラフィッククローキングを活用してブラウザをフィンガープリントし、自動サンドボックスやブロック、仮想グラフィックカード、セキュリティクローラーを遮断します。
これらのチェックを通過したターゲットには、SSAなどの政府ポータルサイトを精巧に再現した誘導ページが表示され、偽のセキュリティコネクタツールのダウンロードを促します。
SOCRadarの調査によると、The Quarryへの対策には、従来のファイルハッシュに頼るのではなく、振る舞いの異常に着目することが求められています。
このツールキットはモジュール式の設計を採用し、正規のRMMソフトウェアを悪用するため、シグネチャベースの標準的な検出手法は効果が薄くなっています。
セキュリティチームは、インフラのパターンを継続的に監視するとともに、承認済みのRMMツールリストを維持し、未承認のScreenConnectやDattoのインストールを検知した際には即座にアラートを発報することで、企業ネットワーク内での不正なリモートアクセスツールの使用を積極的に制限することが重要です。
また、一時ディレクトリから隠しコマンドラインパラメーターを使ってサイレントで実行されるMSIインストールについても、エンドポイントのログを監視することが不可欠です。
悪意あるインフラへのアクセスを防ぐため、「tax」「ssa」といった税務関連の用語と「portal」「sync」のようなアクション系の単語を組み合わせた、新規登録ドメインへのWebトラフィックをブロックすることも有効です。
さらに、ユーザーが書き込み可能なディレクトリからの未承認のVisual Basic Script実行を制限する厳格なアプリケーション制御ポリシーの適用も、欠かせない防御層の一つです。
最後に、外部公開しているWebリソースを定期的に監査し、標的型キャンペーンに悪用されるクラウド認証情報やAPIキーが露出していないか確認することも重要です。
注記: IPアドレスおよびドメインは、誤って名前解決やハイパーリンクが発生しないよう、意図的に無害化(例:[.])されています。再度有効化する場合は、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/quarry-toolkit-fuels-phishing/
