北朝鮮に関連する脅威アクターが、偽のMicrosoft Teamsドメインを使用して悪意あるペイロードを配信する新たな高度なソーシャルエンジニアリング攻撃を展開していると、セキュリティ研究者が警告しました。
この活動はUNC1069に属するとされており、同グループは朝鮮民主主義人民共和国(DPRK)と関連する金銭目的の脅威グループです。
欺瞞的なコミュニケーション戦術を通じて専門家や組織をターゲットにしていることで知られており、現在は偽の協働プラットフォームを活用して攻撃範囲を拡大しています。
2026年4月6日、セキュリティアライアンス(SEAL)の研究者が新たに登録された悪意あるドメイン「onlivemeet[.]com」を特定しました。このドメインはMicrosoft Teamsを偽装するように設計されています。
このドメインは、被害者をマルウェアのダウンロードに誘導する詐欺的なミーティングページをホストするために積極的に使用されており、通常はリモートアクセストロイの木馬(RAT)の形式です。
UNC1069は、悪意あるリンクを配信する前に信頼を確立するために、高度なソーシャルエンジニアリング技術に大きく依存しています。
同グループは一般的なフィッシングメールを使用する代わりに、正当で文脈的に関連性のある対話を慎重に構築しています。
研究者はキャンペーンで使用されている複数の主要な配信方法を観察しました。
これらの技術により、攻撃者は専門的なコミュニケーションワークフロー内にシームレスに混ざり込むことができ、ユーザーが相互作用する可能性が大幅に向上します。
ターゲットが悪意あるミーティングリンクをクリックすると、非常に説得力のある偽のMicrosoft Teamsインターフェースにリダイレクトされます。
これらのページは正当なプラットフォームの設計と機能を密接に複製しており、ユーザーが本物と詐欺的な環境を区別することを困難にしています。
偽のページは通常、「TeamsFx SDK」が廃止されており、緊急の更新が必要であると主張するメッセージを表示します。被害者は必要なソフトウェア修正に見える内容をダウンロードするよう促されます。
実際には、ダウンロードに含まれるのは悪意あるペイロード、多くの場合リモートアクセストロイの木馬であり、攻撃者は被害者のシステムへの持続的なアクセスを得ることができます。機密データを盗むか、追加のマルウェアをデプロイします。
このキャンペーンは主に、技術、金融、コンサルティング分野を含むビジネスコミュニケーションに従事する専門家をターゲットにしています。
Microsoft Teamsのような広く使用されている協働ツールへの信頼を悪用することにより、UNC1069は攻撃の有効性を大幅に向上させます。
Calendlyなどの正当なサービスの使用と侵害されたコミュニケーションチャネルは、検出をさらに複雑にします。攻撃チェーンに複数の信頼できるタッチポイントが含まれているためです。
セキュリティ専門家は、組織と個人に対して、未承認のミーティングリクエストや予期しないソフトウェアプロンプトを扱う際にはより厳密な検証慣行を採用することを促しています。
脅威アクターが社会工学的戦術を引き続き改良し続ける中で、組織はますます欺瞞的な攻撃キャンペーンから身を守るために、ユーザー認識と積極的なセキュリティ制御を優先する必要があります。
翻訳元: https://cyberpress.org/exploit-fake-microsoft-teams/