WithSecureが公開した新たなレポートによると、Meta BusinessおよびFacebookアカウントを標的とするサイバー攻撃が、ベトナムの犯罪者の間で人気を高めている。
WithSecure Intelligenceチームは、これらのプラットフォームを狙うサイバー犯罪グループの数が増加していることを確認しており、その多くはベトナムに起源を持ち、同国を拠点に活動している。
通常、これらの攻撃者は、メールやソーシャルメディアなどを通じて共有されるさまざまなおとりのテーマ(OpenAIのChatGPTやGoogleのBardといった名称、Notepad++などの人気ソフトウェア、さらには求人や広告の機会など)を利用し、被害者を巧みに誘導して情報窃取型マルウェアに自ら感染させる。
感染後、マルウェアはFacebookのセッションクッキーやログイン認証情報を含む各種情報を窃取し、攻撃者に標的アカウントへのアクセスを与える。一部のマルウェアのインプラントは、アカウントを乗っ取って被害者の端末を介し、自動的に不正広告を実行することもできる。
他のサイバー犯罪者を助長
これらのアカウントへのアクセスにより、攻撃者は恐喝、名誉毀損、あるいはより顕著には被害組織の資金/クレジットを用いた不正広告の配信など、複数の方法で金銭を得る機会を手にする。
一般に、これらのグループは手数料、または作戦の取り分と引き換えに、他のサイバー犯罪者へ広告枠を販売していると、レポートの著者の一人であるMohammad Kazem Hassan Nejad氏は説明した。
「それにより、彼らは他のサイバー犯罪者を助長する存在となり、最終的に企業、プラットフォーム、そしてユーザーに害を及ぼします。さらに、盗み取れる情報の多くを販売することもでき、それが追加の収益源となると同時に、被害者により多くの問題を引き起こします。」
DucktailとDuckport
レポートでは、これらの攻撃に関与する2つの脅威クラスター、DucktailとDuckportについても掘り下げている。
WithSecureが約1年半にわたり追跡してきたDucktailは、直近6か月で活動が急増しており、最近ではMeta Business Adsに加えて、X(旧Twitter)の広告アカウントも標的にし始めた。
また同レポートは、この脅威クラスターが検知を回避するため、回避および解析妨害の手法を強化したとも付け加えている。
Duckportは2023年3月にWithSecure Intelligenceによって発見された。Ducktailと非常によく似ているものの、スクリーンショットを撮影する機能や、C2(コマンド&コントロール)チェーンの一部としてオンラインのノート共有サービスを悪用する能力など、独自の特徴も備えている。
調査に参加したWithSecureのNeeraj Singh氏によれば、異なるが類似したグループが関与していることは、この領域で活動する攻撃者の間に一定の関与があることを示している。
「これらのさまざまなグループは共通の人材プールから専門性を調達している可能性があるほか、有効な戦略に関するツールや知見を交換するための情報共有の枠組みの中で活動している可能性もあります。さらに、RaaS(ランサムウェア・アズ・ア・サービス)モデルに類似した専門サービスを提供する仲介者が関与している可能性も無視できません。しかし、この領域が拡大していることは明らかであり、これらの攻撃によって一定の成功が得られていることを示しています」と同氏は述べた。
Statistaによると、Metaは広告収益の観点で世界第2位の広告プラットフォームであり、2023年5月時点で世界の広告市場の23.8%を占めている。
「この成功は当然、プラットフォームを悪用しようとする脅威アクターを引き寄せます」とレポートはコメントしている。
翻訳元: https://www.infosecurity-magazine.com/news/facebook-accounts-targeted-vietnam/
