- 攻撃者がスパム洪水と偽のIT支援を組み合わせ
- 被害者がQuick Assistセッションに騙されてA0Backdoorを展開
- マルウェアが完全なアカウント乗っ取りとリモートコード実行を可能に
サイバー犯罪者がスパムとIT支援の詐称を組み合わせて、マルウェアを展開し企業デバイスを乗っ取っていると、専門家が警告しています。
BlueVoyantのセキュリティ研究者は、サイバー犯罪者が被害者のメールインボックスにスパムを氾濫させることで攻撃を開始し、その後すぐに被害者に連絡し、スパム問題を解決する任務を負ったIT支援技術者だと主張していることを発見しました。
その後、被害者にQuick Assistリモートセッションを開始するよう求め、そこを通じてターゲットコンピュータへの一時的なアクセスを取得します。そこで、「スパム問題を解決する」という名目の下、A0Backdoorと呼ばれるマルウェアを展開します。
記事は下に続く
Black Bastaが戻ってきた?
Microsoft TeamsコンポーネントとCrossDeviceServiceに偽装して、マルウェアはDLLサイドローディングを使用して展開・激活されます。
その結果、完全なアカウント乗っ取りが発生し、攻撃者にリモートコード実行(RCE)能力を与えます。これは、スクリプト上で任意のコマンドを実行し、追加のマルウェアをダウンロード・実行し、データを自由に盗み、ネットワーク全体で横方向、またはより深くまで移動できることを意味します。最後に、永続性と長期的なアクセスを維持するか、デバイスをさらなる攻撃の中継点に変えることができます。
帰属は比較的困難なので、攻撃の背後にいるのが誰であるかは確実に知ることができませんが、Cybersecurity Newsによると、このアクティビティは「Blitz Brigantine(Storm-1811とも呼ばれるグループ)に以前結びつけられたタクティクスと重なる」とのことです。これは、Microsoftが以前Black Bastaに結びつけた金銭的に動機づけられた脅威アクターです。
記憶力の短い人のために言うと、Black Bastaはかつて最も悪名高いランサムウェアギャングの1つでしたが、グループは効果的に事業を停止し、2025年初頭に沈黙に陥りました。
これまでのところ、グループは2人の被害者に当たりました – カナダの金融機関とグローバルなヘルスケア組織です。名前はまだ共有されておらず、グループは攻撃の責任を公に主張していません。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを取得し、WhatsAppでも定期的な更新を受け取ることができます。
