攻撃者がホテルをはじめとするホスピタリティ企業を標的に、フィッシングキャンペーンを展開しています。ゲストが撮影した写真を装った悪意のあるZIPファイルを使用し、マルウェアをインストールすることで侵害したシステムへの長期的なアクセスを確立することを目的としています。
この悪意ある活動は、MicrosoftとTrend Microの研究者がそれぞれ確認しています。ただし、両社が最近公開した独立したレポートによると、両者の活動に関連性があるかどうかは確認されていません。Dark Readingが両社に対して活動の関連性についてコメントを求めましたが、いずれの企業からも即時の回答は得られませんでした。
両キャンペーンの攻撃者は、ゲストになりすまして苦情や要求を申し立てるという同様のソーシャルエンジニアリング手法を用いてホスピタリティ業界を標的にし、最終的にマルウェアをインストールしてシステムへの足がかりを築きます。また研究者によると、どちらのキャンペーンもホスピタリティ環境において、フロントスタッフや予約チームがゲストからの問い合わせに対応するという業務フローを悪用しています。さらに両者は、フィッシングメールに正規サービスを利用することで信頼性を高め、最終的には画像に偽装したWindowsショートカットファイルを含むZIPアーカイブ経由でマルウェアを配布します。この手法は、MicrosoftがマクロベースのマルウェアDeliver手段を制限して以降、フィッシング攻撃者の間で急速に普及しています。
特筆すべき点として、多くのフィッシング攻撃が採用するようなランサムウェアの展開や即時の金銭的利益の追求ではなく、両レポートとも、攻撃者が侵害したシステムへの安定したリモートアクセスの確立を目指していることを指摘しています。これは後日に認証情報を窃取したり、横断的な移動を行ったり、追加のペイロードを展開したりするためであると研究者らは述べています。
2つのサイバーキャンペーンの比較
Microsoftは、少なくとも4月から始まった欧州とアジアのホテルおよびホスピタリティ企業を標的とした侵害キャンペーンを追跡しています。一方Trend Microは、5月に日本のBooking.comパートナー企業を狙った類似の活動を観測しています。
Microsoftの報告によると、攻撃者はゲストからの苦情、南京虫の目撃情報、衛生検査、予約トラブルといったテーマのフィッシングメールを送信しました。これらのメッセージには、CalendlyのメールNotifyシステムやGoogleのURLリダイレクトサービスなど正規のサービスが悪用されており、同社のブログ投稿では「認証ランダリング」と呼ばれる手法によって「従来の認証チェックを回避している」と説明されています。
「信頼できるサービスの送信インフラを経由してフィッシングメッセージをルーティングすることで、脅威アクターはメール認証の防御機構に対して、悪意あるメッセージを正規の通知メールに見せかけることができます」とMicrosoftの研究者は記しています。
埋め込まれたリンクをクリックした被害者は、写真をテーマにしたLNKファイルを含むZIPアーカイブをダウンロードします。このショートカットを開くと、難読化されたPowerShellの感染チェーンが起動し、最終的にNode.jsの永続的インプラント(ブラウザ外でJavaScriptを実行するための正規ランタイム)が展開されます。これにより、複数のレジストリベースの永続化メカニズムが確立され、攻撃者が管理するインフラとの暗号化通信が開始されます。
ブロックチェーンをデッドドロップリゾルバとして悪用
Trend Microは、5月下旬に発見された、Booking.comのパートナー企業である日本の宿泊施設を標的とした並行キャンペーンを記録しています。フィッシングメールはゲストの宿泊レビュー依頼や顧客からの苦情を装い、写真に偽装した悪意のあるLNKファイルを含むZIPアーカイブのダウンロードを促すもので、Microsoftが観測した感染チェーンと類似しています。
ただし、Trend Microが追跡したキャンペーンは配布されるマルウェアが異なります。このキャンペーンでもNode.jsが難読化に使用されていますが、最終的なペイロードはTONResolverというJavaScriptベースのリモートアクセス型トロイの木馬(RAT)です。Trend Microによると、このマルウェアは初期アクセスを確立したうえで、さらなる攻撃者のコマンドの受信・実行が可能です。実際、研究者らは初期感染後に続く認証情報の窃取と追加侵害を示す証跡を確認しています。
さらに注目すべきは、このキャンペーンにおけるTONResolverのC2(コマンド&コントロール)アーキテクチャです。The Open Network(TON)ブロックチェーン上のスマートコントラクトから現在の接続先を取得し、TONをデッドドロップリゾルバとして悪用しています。この手法により、攻撃者は難読化またはエンコードされたコンテンツを利用して正規のWebサービス内にC2サーバのアドレスを隠蔽し、検出を回避できます。
Suzu Labsのプリンシパル兼最高技術責任者であるDenis Calderone氏はDark Readingに対し、この手法はテイクダウンや法執行機関への対抗力を高めるためにC2アーキテクチャに採用する攻撃者が増えつつあると述べています。
「C2サーバがテイクダウンされても、攻撃者はスマートコントラクト内のドメインを更新するだけで、感染したすべてのマシンが自動的に再接続します」と同氏は言います。「押収すべきサーバも、シンクホールすべきドメインも存在しない。従来のテイクダウン手順はこの手法には通用しません」
この手法が最近Trivyのサプライチェーン攻撃でも確認されていることを踏まえ、Calderone氏は「攻撃者同士が互いに学び合っており、ブロックチェーンC2は新奇な手法から広く採用される手法へと移行しつつあるように見えます」と付け加えています。
ホスピタリティ業界への執拗な攻撃
ホスピタリティ業界は、標的組織そのものだけでなく、フィッシング攻撃の対象としてその膨大な顧客基盤も狙われることが多い業界です。MicrosoftとTrend Microが報告した攻撃は、サイバー犯罪者がこれらのシステムを侵害して長期的なアクセスを確保し、悪意ある活動に利用しようとする手口のさらなる一例を示しています。
MicrosoftとTrend Microはそれぞれのレポートに侵害の指標(IoC)一覧と防御者向けの推奨事項を掲載しています。Microsoftは組織に対し、写真テーマのZIPアーカイブや偽の画像ショートカットを高リスクとして扱うこと、PowerShellの実行を強化・監視すること、予期しない.NETコンパイルを監視すること、ユーザースペースパスからのNode.js実行を調査することなどの緩和策を推奨しています。
観測した活動に基づき、Trend Microは防御者に対してインターネットに公開されたエンドポイントにプロキシゲートウェイを導入し、特定のデッドドロップリゾルバの悪用に対抗するための接続フィルタリングを実施することを推奨しています。「通常、ビジネス環境においてブロックチェーンプラットフォームへのアクセスが必要になる場面は限られていると考えられます」と研究者らは述べています。「そうした通信が不要であれば、接続制限を先行して実装することで、攻撃チェーンを中間段階で断ち切ることができます。」
ホスピタリティ業界全般に向けて、Suzu LabsのCalderone氏はセキュリティ管理者に対し、特にフロントワークステーションのセキュリティ確保においては「信頼を最小限に」という姿勢を取るよう助言しています。「少なくともフロントおよび予約システムでのPowerShellとNode.jsの実行を制限してください」と同氏は言います。「これらのワークステーションがNode.jsを実行する正当な理由はありません。予約端末でnode.exeが起動しているのを確認したら、それが侵害の指標です。」
最新のDark Reading Confidentialポッドキャスト「CISOには倫理規定が必要か?」もぜひお聴きください。キックバック、幽霊社員、「怪しい」ベンチャーキャピタル、シェルフウェアなど、業界の専門家Robert「RSnake」Hansen氏が、CISOの倫理規定が今こそ必要だと考える理由を語ります。企業ひいては国家のセキュリティをリスクにさらしかねない自己利益追求を防ぐためにも必要不可欠だと同氏は主張しています。今すぐ聴く!
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/phishers-persistence-eu-asia-hospitality-orgs
