BlueVoyantのサイバーセキュリティ研究者は、ソーシャルエンジニアリングを使用してエンタープライズネットワークに侵入する高度な攻撃キャンペーンを発見しました。
攻撃者は大量のスパムメールで従業員を襲い、Microsoft Teamsでメールサポートになりすまして支援を申し出ます。問題を修正するという名目の下、脅威行為者は被害者を騙してWindowsクイックアシスタント経由でリモートアクセスを許可させます。
内部に入った後、彼らはA0バックドアと呼ばれる新しく発見されたマルウェアを配置します。2025年8月からアクティブなこのキャンペーンは、脅威グループBlitz Brigantine(Storm-1811)と戦術を共有しています。
この金銭的動機を持つグループは、Black Bastaランサムウェア攻撃と頻繁に関連しており、金融機関とヘルスケア機関を重点的にターゲットにしています。
攻撃はターゲットを圧倒するために設計された大量のスパムメールで始まります。その直後、攻撃者がMicrosoft Teamsを通じてメール異常に対応するIT職員になりすまして連絡します。
彼らは従業員にWindowsクイックアシスタント(組み込みのリモートデスクトップツール)を開くよう説得します。自発的に制御を譲ることで、被害者は知らず知らずのうちに従来の防御を回避します。アクセスが確保されると、攻撃者は悪意のあるソフトウェアを配置して足がかりを確立します。
彼らのツールを正当に見せるために、脅威行為者は個人用Microsoftクラウドストレージアカウントでホストされている、デジタル署名されたインストールパッケージを使用します。これらのファイルは一時リンク経由で配信されるため、事後的な分析が非常に困難になります。
実行されると、攻撃者はDLLサイドロードを使用して悪意のあるコードをステルスに読み込みます。インストーラーは正当なMicrosoft TeamsおよびCrossDeviceServiceコンポーネントになりすましたファイルをユーザーの隠れたアプリケーションフォルダに配置します。
これらの中には、欺瞞的な証明書で署名されたWindowsコンポーネントの悪意のあるバージョンがあります。これはローダーとして機能し、次の攻撃段階をアンパックして実行し、セキュリティソフトウェアから身を隠します。
デジタル署名は頻繁に回転し、攻撃者が信頼の幻想を保つために絶えずツールをリフレッシュすることを余儀なくされます。
ローダーは自身を復号化した後、A0バックドアをシステムメモリに解き放ちます。このステルスバックドアは即座にコンピュータをスキャンし、コンピュータ名などの詳細情報を収集してデバイスを一意に識別します。
また、アンチウイルススキャナーから検出されないようにするために、自身を新しいメモリロケーションにコピーします。攻撃者サーバーに直接連絡する代わりにアラートをトリガーすることはなく、A0バックドアはDNSトンネリングを使用します。
新しいドメインを作成するのではなく、古い期限切れのドメイン名を再利用することで、BlueVoyant攻撃者はさらに疑惑を減らします。
これは、新しく登録されたドメインをブロックするセキュリティフィルターをカスタムサーバーがバイパスするのに役立ちます。ソーシャルエンジニアリング、メモリベースの実行、および隠蔽通信のこの組み合わせは、サイバー犯罪者がエンタープライズセキュリティ制御を回避する方法における重要な転換を強調しています。
翻訳元: https://cyberpress.org/teams-quick-assist-exploited/