偽IT担当者がMicrosoft Teamsで従業員を騙し、マルウェアをインストールさせる

サイバー犯罪

Unit 42によると、攻撃者はヘルプデスク担当者になりすまして従業員にリモートコントロールの権限を渡すよう仕向け、その後EtherRATトロイの木馬を仕込んでいるといいます

サイバー犯罪者がMicrosoft Teamsを使った偽のIT support通話を悪用し、従業員を騙してPCの制御権を渡させたうえで、EtherRATリモートアクセス型トロイの木馬をインストールさせているとの調査結果を、Palo Alto Networks傘下のUnit 42の研究者らが公表しました(詳細はこちら)。

被害者はまず、従業員アンケートを装ったフィッシングメールを受け取ります。その後、IT support担当者を名乗る人物からMicrosoft Teams経由で電話がかかってきます。この通話の中で、攻撃者は標的を説得してリモートコントロール権限を渡させ、HopToDeskやAnyDeskといった正規のリモート管理ツールをインストールさせます。続いてMSIパッケージがダウンロードされ、これによってEtherRATマルウェアがインストールされる仕組みです。

Unit 42の脅威リサーチャーであるBrian Janower氏は、「被害者のセッションログには『System Administrator (External unfamiliar) | Microsoft Teams』というタイトルが記録されていました。このExternal unfamiliarというタグは、組織外部からの、信頼関係のない連絡先であることを示しています」と述べています。「Microsoft Teamsの監査ログからも、攻撃者が管理するアカウントからテナントを跨いだOneOnOneチャットが開始されたことが確認できます」

EtherRATはWindows、Linux、macOSで動作するNode.js製のRATで、コマンド実行、データ窃取、ファイル操作、アクセス維持といった、侵害後によく使われる一連の攻撃手口を攻撃者に提供します。このマルウェアの特徴は、通信先のC2サーバーをハードコードするのではなく、Ethereumのスマートコントラクトから稼働中のC2サーバーを取得する点です。この方法がうまくいかない場合に備えて、従来型のドメインも予備として用意されています。

このRATは、以前React2Shellの脆弱性を悪用した攻撃との関連が指摘されており、その後は複数の脅威グループが関与するキャンペーンにも登場しています。

Unit 42の調査では、今回のキャンペーンにおいて有用と思われるフォレンジック上の痕跡も明らかになっています。Janower氏によると、リモートコントロールセッション中にTeamsが「CtrlVirtualCursorWin_*」で始まるファイルを作成するとのことで、これは攻撃者が被害者のデスクトップを実際に操作していたことを示す新たな指標として防御側の役に立つといいます。

研究者らはまた、EtherRATのバージョン1から9までを含む、公開状態にあるとみられるディレクトリを発見しました。サンプルは直近では6月26日にも更新されており、このリポジトリからは攻撃者らが現在もマルウェアの開発を続けていることがうかがえます。

今回のキャンペーンは、攻撃者がMicrosoftのコラボレーションプラットフォームを悪用してユーザーを狙う手口の最新例といえます。先月には、DragonForceの実行者らが、被害者のネットワークに侵入した後、正規のTeams通信を装ってコマンド・アンド・コントロール通信を隠していたことが研究者によって発見されています。 

今回のケースでは、Teamsが侵入のもっと早い段階から悪用されており、攻撃者は偽のIT support通話を使うだけで、従業員自身に扉を開けさせているのです。  ®

翻訳元: https://www.theregister.com/cyber-crime/2026/07/07/fake-it-bods-on-microsoft-teams-coax-workers-into-installing-malware/5267610

ソース: theregister.com