Googleドライブがフィッシングキャンペーンで悪用

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

アナリスト：

Rory Morrissey

(Intelligence Architect @Machina Record)

Articles

・サイバー犯罪集団「Maze」が活動停止するとの報道

・NATとファイアウォールをバイパスする新たな攻撃手法

・Google ドライブがフィッシングキャンペーンで悪用される

サイバー犯罪集団「Maze」が活動停止するとの報道

・BleepingComputerは、ランサムウェア集団「Maze」が、その活動に幕を下ろしつつあるようだと報じました。最近のBarnes and Nobleへの攻撃に関与した脅威アクターがBleepingComputerと接触し、「Maze」が2020年9月に新たな犠牲者を出すのをやめたと述べました。

・このアクターによると、「Maze」は現在、残された被害者に支払いを強要しようと試みているとのことです。また、「Maze」のデータ流出サイトは、撤去作業中と見られます。BleepingComputerが「Maze」のオペレーターたちと直接連絡を取ったところ、プレスリリースを待つようにとの指示が返ってきました。

・「Maze」に関わった者たちは現在、「Egregor」に乗り換えているところだと報じられています。「Egregor」は「Maze」や「Sekhmet」と同じソフトウェアを使用していると考えられています。

出展：https://www.bleepingcomputer.com/news/security/maze-ransomware-is-shutting-down-its-cybercrime-operation/?_hsmi=98570731&_hsenc=p2ANqtz-8xePDP8AGbdgmHUq2x5pn0mzOIh2_suHTj1WNkxAw5V6M5UEZeJ2_JkJ3WsN1QqKj2yXDclnCPl34R97VMWfa5Yt7tzg

Analyst’s Comments

影響範囲：

過去に「Maze」ランサムウェアに感染したことのある企業

見解：

ランサムウェア集団が活動停止するという記事は、一見したところ、こちら側の勝利のように読めるかもしれませんね。しかし、グループの解散が被害者予備軍の人たちに束の間の休息を与えるかもしれない一方、「Maze」ランサムウェア自体は新しい名前で生き続けるかもしれません。冒頭の概要で述べたように、「Maze」の関係者たちはすでに、最近人気のランサムウェア「Egregor」に乗り換えているのが目撃されています。

また、あるランサムウェア集団が、過去に被害者のネットワークで手にした足場を他の脅威アクターに売却することも珍しくありません。よって、被害を受けた方は必ず、感染した脆弱なデバイスをネットワークから徹底的に駆除してください。

緩和戦略：

1. 1. 1. 強力なバックアップ戦略を準備しておくとともに、暗号化された場合に備え、定期的なバックアップをネットワーク外に保存しておきましょう。
      2. ウイルス対策ソフトウェアとライセンスを最新の状態に保ちましょう。
      3. 最新のシステムパッチを使用してサイバーハイジーンを実践しましょう。また、信頼できるソースと信頼できないソースの両方から突然送られてくるリンク、メール、ダウンロードには注意しましょう。
      4. 使用していないリモートデスクトップ接続およびプロトコルは無効にしましょう。

NATとファイアウォールをバイパスする新たな攻撃手法

・セキュリティ研究者のSamy Kamkar氏は、「NATスリップストリーミング」と呼ばれる新しい攻撃手法を発見しました。これは、ユーザーが悪意のあるサイトを訪問した際に発生する恐れがあり、攻撃者は、被害者のマシンに紐づいたTCP/UDPサービスの全てにリモートアクセスすることが可能となります。

・この攻撃で悪用されるのは、ユーザーのブラウザとアプリケーションレベル・ゲートウェイです。アプリケーションレベル・ゲートウェイは、NAT（ネットワークアドレス変換）、ルーター、ファイアウォールに組み込まれています。Kamkar氏は、攻撃手法の詳細を示す、概念実証（PoC）コードを公開しました。

出展：https://samy.pl/slipstream/?_hsmi=98905842&_hsenc=p2ANqtz–UeFOVnaVHWJ9mw1oDP1WdgQyDENR_nkVPo1DPHqEzvPqBUWFD_mmSMsmrSXqlABbkLHO1wl6VypjerVxrDGiqzzwuzw

Analyst’s Comments

影響範囲：

現時点では、攻撃者が利用する悪質なサイトにアクセスする全てのユーザー

見解：

「NATスリップストリーミング」はセキュリティ研究者によって作られたもので、今のところ、至る所で積極的に利用されている様子は確認されていません。しかし、対策を怠っていると、ユーザーはファイアウォールでブロックされるはずのポートを利用した攻撃や、サービス拒否攻撃、TCPフラグメンテーション攻撃などのリスクにさらされます。

緩和戦略：

現時点では、このNATおよびファイアウォールにおけるエクスプロイトを解決するパッチは存在しません。

信頼できないリンクをクリックしたり、非合法ウェブサイトを訪問したりするのを慎みましょう。

Google ドライブがフィッシングキャンペーンで悪用される

・Wiredの研究者が、Google Drive経由で配信されるフィッシング詐欺を観測しました。アクターは、コラボレーション機能を悪用して、被害者にモバイル通知やメールを送りつけています。ターゲットはGoogleからの招待状を受信しますが、この招待状はターゲットを悪質な可能性のあるリンクを含む文書へと誘導します。

・今回の詐欺では、複数のランディングサイトが利用されており、中には架空の懸賞の抽選や金銭的報酬、銀行サービスを提供するサイトが含まれています。

・通知やメールはGoogleによって配信されるため、セキュリティフィルターを回避することが可能です。研究者たちは、ロシア語と片言の英語で書かれたメッセージを確認しており、中にはロシア人の名前のGmailアカウントが作成していたケースもありました。

出展：https://www.wired.co.uk/article/google-drive-spam-comments-phishing?_hsmi=99203720&_hsenc=p2ANqtz-_CJ00CL5i5XK-FaSd2ev9EU0ZjvxB0PeTJKjF54pncyaz65HPji7eGG_igFEq5–MdMkpso11bbnX4f3AU4YwHNg2UeQ

Analyst’s Comments

影響範囲：

Googleの一連のサービスを利用する人全員

見解：

詐欺師は、Googleのサービスが提供するコラボレーション機能を利用して、ユーザーに不正リンクを受信させるだけではありません。正規のGoogleサービスを利用することで、通常であればGoogleとローカルのスパムフィルターの両方でフィルタリングされてしまうような、詐欺メッセージや悪質リンクを送信することも可能です。

緩和戦略：

1. 1. 1. 詐欺メッセージを Google に報告しましょう。そうすれば、Google は新たな脅威に順応し、フィルタリングをより良いものへと更新するかもしれません。
      2. 信頼できるソースと信頼できないソースの両方から突然送られてくるリンク、メール、ダウンロードに注意しましょう。