北朝鮮に関連する脅威アクターが、偽のMicrosoft Teamsドメインを展開して、ソーシャルエンジニアリング攻撃を実行し、マルウェアを配布しています。
UNC1069と特定された脅威グループは、説得力のある会議のおとりと侵害された通信チャネルを使用して、油断している専門家を標的にしています。
UNC1069は、朝鮮民主主義人民共和国(DPRK)に関連する金銭的動機を持つ脅威アクターです。
2026年4月6日、Security AllianceはMicrosoft Teamsになりすますためにこのグループによって展開された新しい悪意のあるドメインonlivemeet[.]comを特定しました。
攻撃者はこの偽のドメインを使用して、ユーザーを騙して悪意のあるソフトウェア(多くの場合、リモートアクセストロイの木馬(RAT)の形式)をダウンロードさせる欺瞞的な会議ページをホストしています。
攻撃者は、その搾取を開始する前に信頼を構築するために、巧妙なソーシャルエンジニアリングに大きく依存しています。
セキュリティ研究者は、悪意のあるリンクを配信するために彼らが使用するいくつかの特定の方法を観察しています:
- 以前に侵害されたTelegramおよびLinkedInアカウントから古い会話を復活させて、正当に見えるようにします。
- Slackの偽のまたはなりすまされた会社グループチャットからパートナーシップ、投資家、または求人勧誘の電話を送信します。
- Calendlyなどの正当なサービスを通じてこれらの偽の会議を事前にスケジュールして、おとりに信頼性を追加します。
偽の会議のおとり
被害者が会議リンクをクリックすると、非常に説得力のある偽のMicrosoft Teams Webページに誘導されます。これらの詐欺的なページは、被害者の警戒心を低くするために、正当なMicrosoftインターフェースを完璧に模倣するように注意深く設計されています。
欺瞞的なページは、「TeamsFx SDK」が廃止されたことをユーザーに通知し、被害者に更新ボタンをクリックするよう促します。このアクションは、必要な技術ソフトウェア修正として装われた悪意のあるペイロードのダウンロードを開始します。
これらの攻撃に対抗するために、セキュリティチームと従業員は通信チャネルを検証することに注意を払う必要があります。
ユーザーは常にクリック前に実際の宛先URLを検査すべきです。SlackやTelegramなどのアプリケーションに表示されるテキストが、実際のWebアドレスと一致しない可能性があるためです。
組織はまた、既知の連絡先からのものであっても、予期しない会議要求に慎重に対応すべきです。特に、即座のソフトウェア更新を要求する場合はそうです。
翻訳元: https://gbhackers.com/threat-actors-weaponize-fake-microsoft-teams/
