シルバーフォックスとして知られる脅威アクターが、日本の忙しい税務申告と企業再編成の季節に合わせたスピアフィッシング攻撃の新しい波で、日本の組織をターゲットにしています。
このキャンペーンは、現在多くの財務およびHR関連コミュニケーションに対処している製造業企業および大企業に大きく焦点を当てています。
このような季節的なタイミングは意図的です。この期間中、従業員は給与調整、税務申告、人事異動に関するメールを予期しているため、日常の内部コミュニケーションに見せかけた悪意のあるメッセージを信頼しやすくなります。
攻撃者は、HR部門、財務チーム、さらには会社幹部になりすまして、慎重に作成されたメールを送信しています。これらのメッセージは、信頼性を高めるために件名に対象企業の名前を含めることが多いです。
キャンペーンで観察された一般的なテーマには、税務コンプライアンス違反、従業員株主所有制度の更新、および給与改訂が含まれます。
具体的な誘いのテーマとしては、「人事異動と給与調整」や「税務コンプライアンスと罰金通知」などが挙げられ、これらはすべて緊急性を作り出し、迅速な行動を促すように設計されています。
レポートによると、シルバーフォックスは当初、中国語を話すターゲットに焦点を当てていましたが、その後、東南アジア、日本、そして北米の一部に拡大し、各キャンペーンを地域言語で実行しています。
さらに信頼性を高めるために、シルバーフォックスは送信者フィールドで実際の従業員名を使用しています。これは事前の偵察を示しており、このキャンペーンが大量スパムではなく、高度にターゲットされたものであることを示唆しています。
マルウェア配信と影響
フィッシングメールには通常、悪意のある添付ファイルまたはダウンロード可能なファイルへのリンクが含まれています。これらのファイルはHRまたは財務ドキュメントに見せかけられ、多くの場合、疑いを避けるために使い慣れた命名規則が使用されています。
- 感染したシステムの完全なリモートコントロールを取得します。
- 機密の企業データを盗みます。
- ユーザーアクティビティを監視します。
- ネットワーク内での長期的な永続性を維持します。
このレベルのアクセスにより、脅威アクターは横展開し、攻撃をエスカレートさせ、組織全体でさらなるコンプロマイズを段階的に実施することができます。
2023年以降活動しており、シルバーフォックスは当初、中国語を話すターゲットに焦点を当てていましたが、その後、東南アジア、日本、北米の一部に事業を拡大しました。
このグループは、金融、医療、教育、政府、さらにはサイバーセキュリティ企業など、複数のセクターをターゲットにしています。
注目すべきは、このグループは地域ビジネスサイクルに合わせてキャンペーンを調整した歴史があります。昨年の同じ時期に日本で類似した税務関連のフィッシング活動が観察されており、一貫性のある戦略的なアプローチを示唆しています。
対策
説得力のある外見にもかかわらず、これらのフィッシングメールには微妙な危険信号が含まれていることが多いです。組織は認識を強化し、従業員がすべての財務またはHR関連のリクエストを別の通信チャネルで確認するよう促す必要があります。
- 名前がなじみ深く見える場合でも、送信者のメールアドレスを確認します。
- WeTransferやGoFileなどのパブリックファイル共有プラットフォームからのダウンロードを避けます。
- リクエストが標準的な会社プロセスと一致しているかどうかを確認します。
- 異常な言語やトーンの矛盾に注意します。
- 開く前に、ZIPなどの圧縮ファイルまたはRARファイルを検査します。
セキュリティチームは、エンドポイント保護ツールが更新され、ValleyRATなどの脅威を積極的に監視していることを確認する必要があります。
シルバーフォックスキャンペーンは、攻撃者が予測可能なビジネスサイクルを悪用して成功率を上げる方法を示しています。時間に敏感なタスクを処理するプレッシャーの下で、十分に訓練されたスタッフでも警告信号を見落とすことがあります。
日本およびその他の地域で事業を行っている組織は、季節的なフィッシング急増を繰り返される脅威パターンとして扱う必要があります。疑わしいメールの迅速な報告と積極的なユーザー認識は、コンプロマイズを防ぐための重要な要素です。
翻訳元: https://gbhackers.com/silver-fox-cyberattack/
