サイバーセキュリティの研究者は、ヨーロッパ、アフリカ、カナダ、中東、南アジアの銀行、エネルギー会社、保険会社、投資会社の最高財務責任者(CFO)や財務役員をターゲットにした、新しいスピアフィッシングキャンペーンについて警告しています。このキャンペーンでは、Netbirdという合法的なリモートアクセスツールが使用されています。
“複数段階のフィッシング作戦と思われる中で、攻撃者は被害者のコンピュータにNetBirdという合法的なWireGuardベースのリモートアクセスツールを展開することを目指しました,” とTrellixの研究者Srini Seethapathyは分析で述べています。
この活動は、サイバーセキュリティ会社によって2025年5月中旬に初めて検出され、既知の脅威アクターやグループには帰属していません。
攻撃の出発点は、Rothschild & Co.のリクルーターを装ったフィッシングメールで、「戦略的な機会」を提供すると主張しています。このメールは、受信者を引き付け、実際にはフィッシングリンクであるとされるPDF添付ファイルを開かせるように設計されています。
感染の注目すべき点は、実際のリダイレクトURLが暗号化された形でページに保存されており、被害者がCAPTCHA認証チェックを解決した後にのみアクセス可能であり、最終的にZIPアーカイブのダウンロードに至ることです。
“パズルを解くと、[JavaScript]関数が実行され、ハードコードされたキーでそれを復号し、ユーザーを復号されたリンクにリダイレクトします,” とSeethapathyは述べています。”攻撃者は、Cloudflare TurnstileやGoogle reCAPTCHAで保護されたフィッシングサイトをすでにフラグする防御をすり抜けることを期待して、これらのカスタムCAPTCHAゲートにますます依存しています。”
アーカイブ内には、外部サーバーから次の段階のVBScriptを取得し、「wscript.exe」を介して起動する責任を持つVisual Basic Script(VBScript)が含まれています。この第二段階のVBScriptダウンローダーは、同じサーバーから別のペイロードを取得し、それを「trm.zip」に名前を変更し、NetBirdとOpenSSHの2つのMSIファイルを抽出します。
最後の段階では、感染したホストに2つのプログラムをインストールし、隠しローカルアカウントを作成し、リモートデスクトップアクセスを有効にし、NetBirdをスケジュールされたタスクを介して永続化し、システム再起動時に自動的に起動するようにします。マルウェアはまた、被害者に妥協が検出されないようにするために、NetBirdのデスクトップショートカットを削除します。
Trellixは、ほぼ1年間アクティブであり、同じVBScriptペイロードを提供する別のリダイレクトURLを特定し、このキャンペーンがしばらく続いている可能性があることを示しています。
この発見は、敵対者がConnectWise ScreenConnect、Atera、Splashtop、FleetDeck、LogMeIn Resolveなどの合法的なリモートアクセスアプリケーションにますます依存し、持続性を確立し、同時に検出を回避しながら被害者のネットワークに潜り込む方法を再び示しています。
“この攻撃は典型的なフィッシング詐欺ではありません,” とSeethapathyは述べています。”巧妙に作られ、ターゲットを絞り、微妙であり、技術と人々をすり抜けるように設計されています。これは、社会工学と防御回避技術を使用して被害者システムへの持続的なアクセスを作成および維持するための多段階攻撃です。”
この開示は、野生で発見されたさまざまなメールベースの社会工学キャンペーンの発見と一致しています –
- 信頼されたドメインを悪用し、よく知られた日本のインターネットサービスプロバイダー(ISP)に関連付けられたドメインを使用して、フィッシングメッセージを”company@nifty[.]com”のメールアドレスから送信し、メール認証チェックを通過して資格情報を収集しようとする攻撃
- Google Apps Script開発プラットフォームを悪用して、合法的に見えるフィッシングページをホストし、請求書をテーマにしたメールの誘いを使用してMicrosoftのログイン資格情報を盗む攻撃
- Apple Payの請求書を模倣し、クレジットカードの詳細やYahoo Mailアカウントの詳細などの機密ユーザーデータを盗む攻撃
- Notionワークスペースを悪用してフィッシングページをホストし、ユーザーをリンクをクリックさせて、共有ドキュメントを閲覧するふりをして偽のMicrosoftログインページに誘導し、Telegramボットを介して資格情報を流出させる攻撃
- Microsoft Officeの数年前のセキュリティ欠陥(CVE-2017-11882)を悪用し、偽のPNGファイルに隠されたFormbookマルウェアのバリアントを配信し、妥協したホストから機密データを盗む攻撃
PhaaSサービスがハードルを下げる#
この発見はまた、TrustwaveがTycoonとDadSec(別名Phoenix)フィッシングキットの運用上の接続を詳述し、それらのインフラストラクチャの重複と集中化されたフィッシングインフラストラクチャの使用を強調しています。DadSecは、MicrosoftによってStorm-1575というモニカーで追跡されている脅威アクターの作品です。
“DadSecによって使用されるインフラストラクチャは、’Tycoon 2FA’ Phishing-as-a-Service(PhaaS)プラットフォームを活用する新しいキャンペーンにも接続されています,” とTrustwaveの研究者Cris TombocとKing Orandeは述べています。”Tycoon2FAフィッシングキットの調査は、敵対者がPhishing-as-a-Service(PhaaS)エコシステム内で戦術を洗練し拡大し続けている方法を明らかにしています。”
 |
| Tycoon 2FA PhaaSオペレーション |
PhaaSサービスの人気の高まりは、Haoziと呼ばれる新しい「プラグアンドプレイ」中国語キットの出現によって証明されています。このキットは、過去5か月間でサードパーティサービスへの広告を販売することで28万ドル以上の犯罪取引を促進したと推定されています。年間2,000ドルのサブスクリプションベースで運営されています。
“従来のフィッシングキットとは異なり、攻撃者がスクリプトやインフラストラクチャを手動で設定する必要があるのに対し、Haoziは洗練された、公開向けのウェブパネルを提供しています,” とNetcraftは述べています。”攻撃者がサーバーを購入し、その資格情報をパネルに入力すると、フィッシングソフトウェアが自動的にセットアップされ、コマンドを1つも実行する必要がありません。”
“この摩擦のないセットアップは、AI対応のDarculaスイートのような他のPhaaSツールとは対照的であり、最小限のコマンドライン使用がまだ必要です。”
ユーザーがすべてのキャンペーンを1か所で管理できる管理パネルをサポートするだけでなく、Haoziは広告スペースを提供し、フィッシングキットの購入者をSMSベンダーに関連するサードパーティサービスと接続する仲介者として機能しています。
 |
| Haoziフィッシングダッシュボード |
Haoziを他のキットと区別するもう一つの側面は、デバッグの問題を支援し、キャンペーンを最適化するための専用のアフターセールスTelegramチャンネル(@yuanbaoaichiyu)を持っていることで、技術的な専門知識を持たないサイバー犯罪者志望者にとって魅力的なオプションとして位置付けられています。
“企業のセキュリティチームが侵入試行を検出し対処するのにより効果的になるにつれて、攻撃者は社会工学とフィッシング詐欺を展開しており、これらの戦術は強化された境界を突破する必要がありません,” とNetcraftの研究者Harry Everettは述べています。
“PhaaSの提供はスキルのハードルを下げ、オートメーションとコミュニティサポートを通じてキャンペーンを拡大します。これらの新しいモデルは、サブスクリプション価格、カスタマーサービス、製品更新を備えたSaaSビジネスのように機能し、ブラックマーケットのハッキンググループとは異なります。”
Microsoftは、先週発表したアドバイザリーで、PhaaSプラットフォームがますます中間者攻撃(AiTM)資格情報フィッシングを推進していることを明らかにしました。これは、多要素認証(MFA)の採用が急増しているためです。
その他の技術には、デバイスコードフィッシング、OAuthコンセントフィッシング、脅威アクターがOpen Authorization(OAuth)プロトコルを使用し、サードパーティアプリケーションの悪意のあるコンセントリンクを含むメールを送信する手法、デバイス参加フィッシング、脅威アクターがフィッシングリンクを使用してターゲットを騙し、アクターが制御するデバイスのドメイン参加を承認させる手法があります。
Windowsメーカーは、ロシアに関連する脅威アクターが、サードパーティアプリケーションメッセージやメールを使用して、悪意のあるリンクを含む有効な認証コードを配信するために、今後の会議招待を参照することを観察したと述べています。この手法は、2025年4月にVolexityによって初めて文書化されました。
“エンドユーザーと自動化されたセキュリティ対策の両方が悪意のあるフィッシング添付ファイルやリンクを特定する能力を高めている一方で、動機付けられた脅威アクターは、説得力のある誘いで人間の行動を悪用し続けています,” とMicrosoftのIdentity部門の企業副社長兼副CISOであるIgor Sakhnovは述べています。
“これらの攻撃はユーザーを欺くことに依存しているため、ユーザーのトレーニングと一般的に特定されている社会工学技術の認識がそれらに対抗するための鍵です。”
翻訳元: https://thehackernews.com/2025/06/fake-recruiter-emails-target-cfos-using.html