TokyoBlackHatNews

cyberpress.org 4分で読了

フィッシング攻撃がZoom、Teams、Google Meetの招待を悪用

Zoom、Microsoft Teams、Google Meetなどのビデオ会議ツールに対するユーザーの信頼を悪用するフィッシングキャンペーンが急増しています。攻撃者は企業従業員に偽の会議招待を送信し、緊急の通話に参加するよう促します。

被害者がクリックすると、実際のアプリに酷似した説得力のある偽のページにたどり着きます。これらのページには参加者リストが表示され、リアルタイムで名前が「参加」していく様子が示され、真正性と逃してはならないというプレッシャーが高まります。

罠は、ユーザーが通話に入ろうとするときに仕掛けられます。ポップアップが表示され、アプリのバージョンが古いまたは互換性がないと警告します。通話に参加するには、被害者は「必須ソフトウェア更新」をダウンロードして実行する必要があります。

これはzoom-meet.usなどのタイポスクワッティングドメインにつながり、ペイロードが待機しています。無害なフィックスに偽装したファイルは、ユーザーにセキュリティ警告を無視するよう促し、ビジネススケジュールの急ぎを悪用します。

攻撃者は、Zoom、Teams、Google Meetの公式インターフェースを完璧に模倣したフィッシングサイトを作成します。被害者は、参加者を追加するなどの動的要素を備えた、見慣れたレイアウトを目にします。これは緊迫感を高めるためです。

その後、フィッシングページはソフトウェアの不具合を理由にアクセスをブロックします。偽のリンクからダウンロードするなど、アプリを「更新」するための段階的な指示が表示されます。

ダウンロードされたファイルは無害なパッチではありません。これはGoogleMeet.exeやZoomWorkspaceinstallersetup.msiのように見えるように名前を変更された、デジタル署名付きの実行ファイルまたはMSIインストーラーです。

Netskope研究者は、ペイロードとして3つの主要なリモート監視・管理(RMM)ツールを特定しました。Datto RMM、LogMeIn Unattended、ScreenConnectです。これらの正当なエンタープライズツールは、信頼できる当局から有効なデジタル署名を備えています。

企業環境では、IT チームがリモートサポート用に事前承認しているため、アンチウイルスフィルターやエンドポイント検出を通過することがよくあります。

インストールされると、RMM エージェントは攻撃者に完全な管理リモートアクセス権を付与します。カスタムマルウェアなしで画面を表示し、ファイルを転送し、シェルを実行し、制御を共有できます。これらはアラートをトリガーする可能性があります。

この足がかりにより、脅威行為者はデータを静かに盗むことができ、ネットワークを高価値のターゲットについて偵察したり、エンドポイント全体にランサムウェアを展開したりできます。ビデオ通話の高信頼性により、ユーザーが防御をバイパスして「会議に参加し逃す」ことを避けるため、このベクトルは致命的です。

偽のサイトは、タイマーまたは参加者数を含めて素早いアクションを促します。中にはオーディオキューやチャットメッセージをシミュレートするものもあります。悪意のあるドメインへのリダイレクトはシームレスに発生し、明らかなスパムを検出するよう調整されたメールフィルターを回避します。

組織は、ソーシャルエンジニアリングと正当なテクノロジーをブレンドした攻撃からのリスクが増加しています。セキュリティチームは、外部ダウンロードではなく、直接アプリリンクまたは連絡先経由で招待を確認するようユーザーをトレーニングする必要があります。

メールで多要素認証を有効にし、厳格なアプリ許可リストを実行してください。Netskope のクラウドアクセスセキュリティブローカーなどのツールは、フィッシングドメインへのトラフィックを検査し、RMM ペイロードをブロックできます。

エンドポイント保護は、署名を超えて進化する必要があります。動作分析は、未知の IP からの予期しない管理アクセスなど、異常な RMM 使用を検出します。

RMM サーバーへの異常な送信接続を監視します。パッチ管理は重要です。ビデオアプリを最新の状態に保つことで、「非互換性」の口実を減らします。

これらのインジケータは、脅威ハンターが感染を早期に発見するのに役立ちます。フィッシングシナリオの定期的なシミュレーションは、ユーザーの回復力を高めます。

このキャンペーンは、攻撃者が日常的なツールを急いでいるワーカーに対してどのように武器化するかを示しています。信頼されたアプリの更新を装うことで、彼らは署名付き RMM エージェント経由で永続的なアクセスを確保しています。

翻訳元: https://cyberpress.org/phishing-exploits-zoom-teams-meet/

ソース: cyberpress.org
#Microsoft Teams #RMM #Zoom #エンドポイント保護 #セキュリティ意識啓発 #ソーシャルエンジニアリング #ビデオ会議 #フィッシング #マルウェア #リモートアクセス

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に