LinkedInのプライベートメッセージで送られたフィッシングリンクが、正規のオープンソース侵入テストツールを悪用しており、サイバーセキュリティ分析者によれば、被害者にリモートアクセス型トロイの木馬(RAT)を配布することを目的としたキャンペーンだという。
このキャンペーンは、脅威研究者であるReliaQuestによって詳細が報告されており、攻撃者が正規のソフトウェアツールとソーシャルメディアプラットフォームの信頼性を組み合わせて成功確率を高めている点から、「特に懸念すべき」だと説明している。
研究者らは、このキャンペーンが、企業幹部やIT管理者など、特定の「高価値個人」を狙い撃ちにしていると述べた。
攻撃は、LinkedInのプロフェッショナルなネットワーキングという文脈を悪用し、業界関連の誘い文句を標的に向けて信頼を築いたうえで、最終的に侵害を目的としたフィッシングリンクを送信することから始まる。
このリンクには悪意のあるWinRAR自己解凍アーカイブ(SFX)が含まれており、実行すると、正規のオープンソースPDFリーダーとともに、悪意のあるDLLファイルが展開される。このDLLは、PDFリーダーが使用する無害なファイルと同じ名前を共有するよう偽装されている。
研究者らは、ファイル名が受信者の職務や業界に合うよう慎重に作られており、より正規らしく見せて攻撃者の成功確率を高めていると指摘した。
被害者がPDFリーダーを展開すると、悪意のあるDLLはDLLサイドローディングとして知られる手法を悪用し、正規アプリケーションと同じディレクトリに自身を配置することで、検知や阻止を困難にする。
その後、オープンソースの侵入テストツールの助けを借りてシステム内での永続化が達成され、攻撃者は感染したマシン上で足場を維持できるほか、データの持ち出し、権限昇格、ネットワーク内での水平移動が可能になる。
ReliaQuestの研究者らは、同様のソーシャルメディアベースのキャンペーンが、過去にも被害者にトロイの木馬型マルウェアを配布するために利用されてきたと指摘した。LinkedInや他のソーシャルプラットフォームを通じて悪意のあるペイロードを配布することで、攻撃者は、企業のサイバーセキュリティ対策がカバーしきれていない盲点を突くことを狙っている。
「このキャンペーンは、フィッシングがメール受信箱に限定されないことを思い出させる。フィッシング攻撃は、ソーシャルメディア、検索エンジン、メッセージングアプリといった代替チャネルでも行われる。これらは、多くの組織がいまだセキュリティ戦略で見落としているプラットフォームだ」とReliaQuestはブログ投稿で述べた。
「ソーシャルメディアプラットフォームは、特に企業デバイスで頻繁にアクセスされるものほど、攻撃者に高価値標的への直接アクセスを提供する……それゆえサイバー犯罪者にとって非常に価値が高い」
ユーザーがソーシャルメディアベースのフィッシング攻撃の被害に遭わないよう、ReliaQuestは、雇用主がソーシャルメディアに特化したサイバーセキュリティ研修を実施し、LinkedInや他のプラットフォーム経由で送られてくる予期しないリンクやファイルを、メールで受け取る同種のメッセージと同様に疑って扱うよう従業員に促すことを推奨した。
研究者らはまた、組織が企業デバイス上での個人用ソーシャルメディアアカウントの利用について監査を行い、業務に不要なものについては管理策を導入したりアクセスを制限したりすることも提案した。
「組織はソーシャルメディアプラットフォームを攻撃対象領域の不可欠な一部として扱い、能動的で多層防御のアプローチを採用しなければならない。従業員教育、高度な検知ツール、厳格なプラットフォーム利用ポリシーを組み合わせることで、リスクを軽減し、新たに出現する戦術に先んじることができる」とReliaQuestは述べた。
Infosecurity はLinkedInにコメントを求めている。
翻訳元: https://www.infosecurity-magazine.com/news/linkedin-phishing-campaign-targets/
