Black Bastaランサムウェア、ITサポート装いMicrosoft Teamsチャットでターゲットに接触
BleepingComputer – October 25, 2024
BlackBastaランサムウェアグループが、初期アクセス獲得のためのソーシャルエンジニアリング戦術にMicrosoft Teamsを用いるようになっているとの報道。同グループはまずターゲット企業の従業員に大量のスパムメールを送りつけ、このトラブルを解決するためのヘルプデスクの名を騙ってTeamsのチャット経由で当該従業員に接触するのだという。
Black Bastaは、2022年4月に始動したとみられるランサムウェアオペレーション。同年6月に解体されたContiグループが複数グループに分裂したうちの1つとされている。世界各地の組織に攻撃を仕掛けてきた実績があり、ターゲットへの初期アクセス手段は脆弱性の悪用やマルウェアボットネットとの連携、ソーシャルエンジニアリング戦術の利用など多様。
Black Bastaランサムウェアについて、詳しくはこちらの記事で:ルーツからオペレーションまで:Black Bastaランサムウェアを理解する
大量のスパムメールを送りつけ、ヘルプデスクを装って接触
まず従業員の受信箱を多数の無害なEメールで溢れさせてから、このスパム問題についてサポートすると謳うヘルプデスクを装って当該従業員に接触するというソーシャルエンジニア戦術は、今年5月にRapid7およびReliaQuestのアドバイザリの中で明かされていた。この際判明していた接触手段は、電話。この通話の中で、Black Bastaのアクターらはターゲット従業員を騙し、リモートサポートツールのAnyDeskをインストールさせるか、Windows Quick Assistのリモートコントロールや画面共有ツールにより従業員のWindowsデバイスへのリモートアクセスを提供させる。いずれかの手段でリモートアクセスを獲得したアクターは、その後ScreenConnectやNetSupport Manager、Cobalt Strikeなどさまざまなペイロードをインストールするスクリプトを実行し、当該デバイスへの持続的なリモートアクセスを確立させる。
この手法について詳しくはこちらの記事で:進行中のソーシャルエンジニアリングキャンペーンに新戦術:CVE-2022-26923の悪用試みるペイロードが使われるように
Microsoft Teamsのチャットが使われるように
一方で、今回新たにReliaQuestが発見した手口も、まず従業員の受信箱をスパムメールで溢れさせる点は同様。しかしその後の当該従業員への接触は、電話の代わりにMicrosoft Teamsのチャットを使って行われるという。アクターらは、いかにもヘルプデスクのように見える以下のような名称でEntra IDテナントのもとにアカウントを作成し、これらを使ってスパム問題の解決サポートを申し出る。ReliaQuestによれば、これらの外部Microsoft Teamsユーザーの挙動はロシアから行われているという。
- securityadminhelper.onmicrosoft[.]com
- supportserviceadmin.onmicrosoft[.]com
- supportadministrator.onmicrosoft[.]com
- cybersecurityadmin.onmicrosoft[.]com
Teamsチャットでも、アクターらはAnyDeskをインストールさせるか、Quick Assistを起動させてターゲット端末へのリモートアクセスを獲得しようとする。観測された攻撃においては、リモートアクセスに成功したアクターらは「AntispamAccount.exe」、「AntispamUpdate.exe」、「AntispamConnectUS.exe」という3つのペイロードをインストールさせていたという。3つ目のAntispamConnectUS.exeについては、ほかの研究者らがVirusTotal上でマルウェア「SystemBC」としてフラグ付けしている。なおSystemBCは、過去にBlack Bastaが使用していたプロキシマルウェア。
その後、最終的にインストールされるCobalt Strikeによってデバイスへのフルアクセスが提供され、当該デバイスをさらなるネットワーク侵入への踏み台として利用することが可能になるという。
外部ユーザーからの通信には制限を
ReliaQuestは、この新たなソーシャルエンジニアリング戦術への対策として、Microsoft Teamsの外部ユーザーからの通信には制限を設けるよう提唱している。またどうしても外部との通信が必要な場合には、信頼されるドメインとのやり取りのみを許可するべきとのこと。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠