進行中のフィッシングキャンペーンがLastPassおよびBitwardenのユーザーを標的に、企業がハッキングされたと主張する偽のメールを送り、より安全とされるデスクトップ版パスワードマネージャーのダウンロードを促しています。
これらのメッセージは受信者にバイナリのダウンロードを指示しており、BleepingComputerの調査によると、これはSyncroというリモート監視・管理(RMM)ツールをインストールします。Syncroはマネージドサービスプロバイダー(MSP)がIT運用を効率化するために使用するものです。
攻撃者はSyncro MSPプログラムを利用して、ScreenConnectリモートサポートおよびアクセスソフトウェアを展開しています。
「脆弱な」古い.EXEインストール
今週の脅威警告で、LastPassは同社がサイバーセキュリティインシデントを受けていないこと、そしてこれらのメッセージが脅威アクターによるソーシャルエンジニアリングの試みであることを明確にしています。
「明確に申し上げますが、LastPassはハッキングされていません。これは悪意のあるアクターによる、受信者の注意を引き、緊急性を生み出すための試みです。これはソーシャルエンジニアリングやフィッシングメールでよく使われる手法です」とLastPassは述べています。
同社によると、このキャンペーンは週末に開始され、コロンバスデーの祝日による人員削減を利用し、検知を遅らせることを狙ったとみられています。
フィッシングメールは巧妙に作られており、受信者に対して、LastPassが「古い.exe形式」の代替として開発したより安全なデスクトップアプリのインストールを促しています。この.exe形式には金庫情報へのアクセスを許す弱点があったとされています。
「攻撃者は古い.exeインストールの脆弱性を悪用し、特定の条件下でキャッシュされた金庫データへの不正アクセスを可能にしました」と脅威アクターによる偽のセキュリティ警告には記載されています。
出典: BleepingComputer
LastPassは、偽のメッセージが‘hello@lastpasspulse[.]blog’から送信されていると指摘していますが、BleepingComputerも‘hello@lastpasjournal[.]blog’から配信されたメールを確認しています。
Bitwardenユーザーも標的に
フィッシングメールはBitwardenになりすましても送信されており、同じ文体と誘導で、受信者に緊急性を感じさせ、改良されたデスクトップアプリのダウンロードリンクをクリックさせようとしています。
昨日、BleepingComputerは‘[email protected]’から、同様のセキュリティインシデントを説明する通知を受け取りました。これにより、ユーザーがインストールする必要のある安全なクライアントアプリがリリースされたとされています。
出典: BleepingComputer
執筆時点で、Cloudflareは詐欺メールに含まれるランディングページへのアクセスをブロックし、フィッシング試行としてマークしています。
リモートアクセス用の正規ツール
BleepingComputerは、LastPassおよびBitwardenユーザーを標的としたフィッシングメールで配布されるバイナリサンプルを入手し、両者が機能的に同一であることを確認しました。
マルウェアはSyncro MSPプラットフォームエージェントを、システムトレイアイコンを非表示にするパラメータ付きでインストールし、ユーザーが新しいツールの存在に気付かないようにします。
観察によると、Syncroの唯一の目的は「持ち込み型」インストーラーとしてScreenConnectサポートツールを展開することであり、これにより攻撃者はエンドポイントへのリモートアクセスを得ます。
Syncroエージェントは非常に少ないオプションで構成されており、攻撃者が必要な機能だけに限定していることが示唆されます。
設定ファイルによると、エージェントは90秒ごとにサーバーにチェックインします。組み込みのリモートアクセスは有効化されておらず、Syncroプラットフォームに同梱されているリモートサポートユーティリティSplashtopや、連携可能なTeamViewerも展開されません。
さらに、抽出された設定には、侵害されたエンドポイントにセキュリティソリューションを展開するポリシーは含まれておらず、Emsisoft、Webroot、Bitdefenderエージェントが無効化されています。
ScreenConnectがデバイスにインストールされると、攻撃者はターゲットのコンピューターにリモート接続し、さらなるマルウェアの配布やデータ窃取、保存された認証情報を通じてユーザーのパスワード金庫へのアクセスが可能になります。
1Passwordアカウントを狙うフィッシング
先週、別のキャンペーンが1Passwordユーザーを標的に、アカウントが侵害されたと偽って警告するメールを送りました。その活動の指標(メッセージの文言、ランディングURL、送信者アドレス:watchtower@eightninety[.]com)は異なっていました。
出典: Malwarebytes
サイバーセキュリティ企業Malwarebytesの研究者によると、埋め込みボタンをクリックしたユーザーはMandrillappのリダイレクトを経由してフィッシングページ(onepass-word[.]com)に誘導されました。
1Passwordを標的とした攻撃は、Brett Christensen(Hoax-Slayer)によって9月25日に最初に報告されました。
出典: Malwarebytes
パスワード管理ツールのユーザーは、このような警告を無視し、必ず公式ウェブサイトにログインして、保留中のセキュリティ警告がないか確認してください。
メールで主張されているような重要なセキュリティインシデントは、各社のブログやプレスリリースでも広く告知されるため、公式チャネルでの再確認が常に良い習慣です。
また、企業が金庫のマスターパスワードを求めることは決してないことも覚えておきましょう。
