出典:Ronstik(Alamy Stock Photo経由)
世界中のWindowsユーザーを標的とした急速に拡大しているフィッシングキャンペーンは、将来の攻撃のための認証情報を盗むだけでなく、悪意のあるスクリプトを通じてさまざまなリモートアクセス型トロイの木馬(RAT)も拡散しています。
Fortinet Labsの研究者はこのキャンペーンを検知しており、彼らが「真にグローバルな規模」と呼ぶ形で様々な業界の組織を標的にしていると述べています。特に製造、テクノロジー、医療、建設、小売・ホスピタリティ分野が主な被害を受けていると、本日公開されたブログ記事で報告されています。
このキャンペーンでは、攻撃者が様々なソーシャルエンジニアリングの手法を用いて、人々を「信憑性の高いフィッシングページ」へと誘導します。メールの内容は、不在着信のボイスメールや発注書、その他即時対応が必要とされる話題に関連しており、Fortinetのアンチウイルス分析マネージャーであるCara Lin氏が投稿で述べています。攻撃者は被害者のメールアドレスや会社のロゴを使ってページをパーソナライズし、さらに正当性を装います。
「これらのページは、受信者がJavaScriptファイルをダウンロードするよう仕向けるために設計されており、これがUpCrypterというマルウェアのドロッパーとして機能し、最終的にさまざまなリモートアクセスツールを展開します」とLin氏は投稿で述べています。
このように、このキャンペーンは一般的なフィッシング攻撃よりも危険です。攻撃者が将来的な悪意のある活動に利用できる認証情報を盗むだけでなく、組織のネットワークへの長期的なアクセスを得ることも目的としているからです。
「配布される悪意のあるファイルは、パスワードを盗むだけでなく、攻撃者に長期的な制御を与える強力なリモートアクセスツールをインストールするためのものです」とSlashNext Email Security+のフィールドCTO、J Stephen Kowski氏は声明で述べています。「最も重要なのは、これは一度きりのデータ窃取ではなく、企業ネットワーク内で静かに拡散する完全なシステム侵害であるということです。」
深刻な脅威が急速に拡大
Fortinetによると、攻撃の連鎖は、標的のメールドメインでパーソナライズされた偽サイトへ被害者をリダイレクトする小さな難読化されたスクリプトから始まります。感染の連鎖は様々な手法で被害者を誘導し、最終的にPureHVNC、DCRat、Babylon RATなど複数のRATを配布します。
攻撃者は、ユーザーにメールや添付ファイルをすぐに開かせようとする典型的な緊急性を煽るソーシャルエンジニアリング手法に加え、攻撃連鎖の裏側で検知を困難にするコーディングやツールの技術も使用しているとFortinetは指摘しています。
これには、マルウェアの目的を隠すための高度に難読化されたコードや不要なコードによる隠蔽、マルウェアがフォレンジックツールやデバッガ、any.runやWiresharkのような仮想マシン環境を検出した場合のスキャンや再起動、そしてUpCrypterマルウェアを使って最終ペイロードを書き込まずにメモリ上で直接攻撃の次の段階を実行することが含まれます。
Fortinetは、このキャンペーンの複雑さの一因として、既製のツールやフィッシングキットがアンダーグラウンドのハッカーサイトで広く入手可能になっていることを挙げており、「単純な詐欺を仕掛けるだけでなく、マルウェアを拡散する完全なシステムを構築できる」とLin氏は述べています。
このキャンペーンは標的となった組織に長期的な影響を及ぼす可能性があり、また驚くべき速さで世界中に拡散しているとFortinetは述べています。発見からわずか2週間で検知数は2倍以上となり、「急速かつ攻撃的な成長パターンを示している」とLin氏は記しています。
複雑なフィッシング攻撃への防御
セキュリティ専門家によると、ターンキー型フィッシングキットの普及により、スキルの低い攻撃者でも高度な攻撃手法を迅速に構築・拡散できるようになっているため、防御側も同様のセキュリティ対策でネットワークを守る必要があります。
「セキュリティチームはこの脅威を真剣に受け止め、多層防御を構築しなければなりません」とセキュリティ企業Deepwatchのサイバーセキュリティ有効化ディレクター、Frankie Sclafani氏は声明で述べています。これには、悪意のあるメールが従業員の受信箱に届く前に検知・ブロックする強力なメールフィルターの利用、最新の手口や誘導を見抜くための従業員教育、Webアプリケーションファイアウォール、メールフィルター、エンドポイント検知・対応、アンチウイルスツールのすべてを最新に保つことが含まれると述べています。
「賢明なセキュリティチームは、脅威インテリジェンスサービスを利用し、提供された侵害指標(IoC)を実装することで、これらの攻撃を積極的にブロックします」とSclafani氏は述べています。
防御側はまた、このキャンペーンで使われているような悪意のあるPowerShellスクリプトの実行を阻止するための様々な制御も活用できます。これには、信頼できる発行者による有効なデジタル署名があるスクリプトのみPowerShellが実行できるようにするスクリプト署名の強制、PowerShellの機能を制限するConstrained Language Modeの使用、マルウェアがよく利用する機密性の高いコマンドレットや.NETクラスの使用を防ぐことなどが含まれるとSclafani氏は述べています。
さらにスクリプトをブロックするために、「メールでHTML添付ファイルを開き、そこからPowerShellが使用されるという一連のイベントを監視することで、簡単かつ迅速に検知(そしてできれば防止)できる」と、Bambenek Consulting社長のJohn Bambenek氏はメール声明で述べています。「すべてのユーザーがPowerShellへのアクセスを必要とするわけではなく、特にOutlook.exeから始まる場合はなおさらです」とも指摘しています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/fast-spreading-phishing-installs-rats