TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

「Scripted Sparrow」が毎月数百万件のBECメールを送信

セキュリティ研究者は、毎月数百万件のカスタマイズされたメッセージを標的に送信するグローバルなビジネスメール詐欺(BEC)グループを発見しました。

Fortraは、「Scripted Sparrow」という集団が3つの大陸と少なくとも5か国にまたがっており、詐欺師がエグゼクティブコーチング企業になりすまして、毎月推定400万~600万件の「極度にターゲット化された」メールを被害者に送信していると述べています。

このグループはさらに少なくとも119個のドメインと245個のウェブメールアドレスを登録しており、Fortraのレポート「Scripted Sparrow: A Prolific BEC Threat Group」(Scripted Sparrow:多産なBEC脅威グループ)によると、256個の銀行口座を使用しています。

「このグループは、様々なエグゼクティブコーチングおよびリーダーシップトレーニングコンサルティング企業になりすまして活動しています」とレポートは説明しています。

「被害者組織の応収勘定チームのメンバーにメッセージを送信し、通常は2つのPDF添付ファイルを含めます。請求書(ACH又は電信送金指示を含む)と記入済みのW-9フォームです。初期メッセージの本文には、架空のコンサルティング企業と被害者組織の経営幹部との間の偽装された返信チェーンが含まれています。」

BECについての詳細を読む:AI ツールのおかげでBEC 攻撃が年20% 急増

最近の攻撃の中には、このグループが金銭収集用銀行口座を公開するまで、実在する被害者が添付ファイルを再送信するよう要求するまで待つため、メールに含まれると称する2つの添付ファイルを意図的に除去しているものもあります。

このグループは少なくとも2024年6月から活動しており、Fortraは496件のユニークなエンゲージメントを記録しています。

「このグループの活動範囲をより良く把握するために、496件のエンゲージメントの1つで使用されたドメインkornferry.wsを調査し、Cloud Email Protection(CEP)のお客様がそのドメインからのアクティビティを確認したかどうかを確認しました。CEPデータを見ると、23の組織がそのドメインからメールを受信しており、70人のユーザーがターゲットになっていました」とFortraは続けています。

「世界中のすべての企業がFortra CEPによって保護されていればいいのですが、より現実的な推定では、世界中の1,000社に1社がCEPを使用しています。つまり、保守的な推定では、当社のチームが確認した各メッセージについて、Scripted Sparrowはおよそ70,000件のメッセージを送信した可能性があります。9月に実施された94件のエンゲージメントは、このグループが送信したおよそ660万件の標的メッセージを表す可能性があります。」

Scripted Sparrowのインフラストラクチャ

さらに掘り下げると、Fortraは自分たちがBEC行為者とのやり取りの大部分が、リモートデスクトッププロトコル(RDP)を実行しているWindowsコンピュータであることに気付きました。RDPの他に、Scripted Sparrowは位置情報スプーフィングとブラウザプラグインを使用して、調査官の追跡を逃れているようです。

「このアルゴリズムを生データに対して実行した後、高い信頼度の位置情報のみを付与しました」とレポートは指摘しています。

「当社の分析に基づいて、Scripted Sparrowグループのメンバーはナイジェリア、南アフリカ、トルコ、カナダ、米国に所在していると考えられます。」

このグループは主にウェブメール(55%)とそれが管理するドメイン上のメールアドレス(43%)の組み合わせを使用しており、NameSiloとDynadotが推奨登録機関です。Fortraが説明したところでは、PDFを作成するためにSkiaを主に使用しており、一部のメンバーはコミュニケーションのためにTelegramを使用しています。

このグループの共有ブラウザフィンガープリント、銀行口座、メールアドレスを分析すると、Fortraはscripted Sparrowが「同じ基本的なプレイブックの下で働く詐欺師の緩い集まり」であると結論付けました。

観測されたBEC攻撃の大多数は英語で実施されていますが、Fortraはスウェーデン語でのいくつかのケースも確認しています。このグループがすでに生成AI(GenAI)を使用しているかどうかは不明ですが、使用していない場合でも、戦術が進化して改善され続ける中で、それが長く続くことはないとレポートは指摘しています。

「組織は、請求書の金額に関係なく、標準的な支払い承認プロトコルが実行されることを確認する必要があります。外部ソースからのメール内に含まれている返信チェーンを信頼しないでください。これは簡単に偽装されるからです」とFortraは結論付けています

「常に、製品またはサービスを購入したと主張する従業員に費用を確認し、受け取った元のメッセージに単に返信するのではなく、その従業員の公式なコミュニケーションチャネルを使用していることを確認してください。」

FBI によると、BEC詐欺師は2024年に被害者から約28億ドルを奪いました。

翻訳元: https://www.infosecurity-magazine.com/news/scripted-sparrow-millions-bec-each/

ソース: infosecurity-magazine.com
#BEC #Scripted Sparrow #サイバー犯罪 #セキュリティ脅威 #ビジネスメール詐欺 #フィッシング #メール詐欺 #組織犯罪 #詐欺 #金銭詐欺

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新