Microsoft Teamsを悪用してマルウェアを配布する新たなフィッシング攻撃の波が、セキュリティ研究者によって明らかになりました。
Permisoが観測したこれらのキャンペーンでは、偽のITサポートアカウントを使って従業員を騙し、リモートアクセスソフトウェアをインストールさせることで、攻撃者が企業システムを直接操作できるようにしています。
Microsoft Teamsが高価値ターゲットとして浮上
メールによるフィッシングは依然として最も一般的な侵入手段ですが、攻撃者は日常的なコラボレーションに使われるプラットフォームへとますます目を向けています。2017年のリリース以来、Microsoft Teamsは企業コミュニケーションに深く組み込まれており、魅力的な標的となっています。
Permisoによると、最近のキャンペーンでは「IT SUPPORT」や「Help Desk」、部門名を使ったエイリアスなど、サポートスタッフになりすましたTeamsアカウントが作成されているとのことです。一部のアカウントには、認証済みであるかのように見せるためのチェックマーク絵文字も使われています。
これらのなりすまし手法は単純ながらも効果的で、従業員はTeams上のコミュニケーションを正当なものと誤信しやすい傾向があります。
フィッシング攻撃についてさらに読む:米国で16%増加したモバイルフィッシング攻撃
攻撃の流れ
攻撃者の目的は、被害者のマシンの制御権を確立することです。最初の接触後、従業員にQuickAssistやAnyDeskなどのリモートアクセスツールのダウンロードを促します。
これらのプログラムがインストールされると、脅威アクターはシステムを完全に操作できるようになり、認証情報の窃取や長期的なアクセス維持のためのマルウェアを展開します。
この手法の初期バージョンは2024年5月に確認され、BlackBastaランサムウェアの活動と関連付けられていました。しかし、最近の事例では、DarkGateやMatanbuchusローダーなど、異なるマルウェアが使われています。
あるケースでは、悪意のあるドメインからダウンロードされたPowerShellスクリプトが、永続化、認証情報の窃取、攻撃者が管理するサーバーとの暗号化通信の機能を持つことが示されました。
キャンペーンの背後にいるグループ
Permisoの調査員は、この活動をEncryptHub(別名LARVA-208またはWater Gamayun)として知られる金銭目的のアクターに帰属させています。
このグループはこれまでにも、ソーシャルエンジニアリングとゼロデイ脆弱性、カスタムマルウェアを組み合わせてきました。過去の攻撃では、英語圏のITスタッフ、開発者、Web3の専門家が標的となっています。
「キャンペーン間で静的な暗号定数を使い回していることは、運用上の大きな弱点であり、防御側がマルウェアリポジトリ内で追跡し、このグループのツールを時間をかけて特定することを可能にします」とPermisoは説明しています。
Microsoft Teamsを活用することで、攻撃者は従来のメール防御を回避し、信頼された企業ワークフロー内に攻撃活動を組み込んでいます。
セキュリティチームには、特に外部とのやり取りなど、ソーシャルエンジニアリングの試みが隠されている可能性のある異常なTeamsの活動を監視するよう呼びかけられています。
画像クレジット:DANIEL CONSTANTE / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/fake-support-attacks-hit-microsoft/