メールボム攻撃とMS Teamsでのビッシングを組み合わせた手法を、複数のランサムウェアアクターが採用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > メールボム攻撃とMS Teamsでのビッシングを組み合わせた手法を、複数のランサムウェアアクターが採用

Threat Report

Silobreaker-CyberAlert

サポート詐欺

ランサムウェア

メールボム攻撃とMS Teamsでのビッシングを組み合わせた手法を、複数のランサムウェアアクターが採用

佐々山 Tacos

佐々山 Tacos

2025.01.22

メールボム攻撃とMS Teamsでのビッシングを組み合わせた手法を、複数のランサムウェアアクターが採用

BleepingComputer – January 21, 2025

ターゲット従業員のメール受信箱に大量のメールを送りつけたのち、このメールボム問題解決のためのITサポートを装ってMicrosoft Teams経由で当該従業員へ連絡を取り、マルウェアをインストールさせようとする戦術を、複数のランサムウェアグループが採用するようになっている。この戦術は昨年からBlack Bastaランサムウェアに関連する攻撃で使われてきたが、今回Sophosが新たに観測した2つのキャンペーンでは、別の脅威アクターが同様の戦術を使用していたという。

昨年報じられたBlack Bastaの戦術についてはこちらの記事で:

 

STAC5143による1つ目のキャンペーン

Sophosが報告した1つ目のインシデントは、同社が「STAC5143」として追跡する脅威アクターによるもの。この攻撃は、以下のような流れで行われたという。この攻撃は最終段階に到達する前に阻止されたが、研究者らによれば、攻撃者の最終目標はデータの窃取およびランサムウェアの投下だっただろうと思われるとのこと。

  • ターゲットが莫大な件数(45分で3,000通)のメッセージを受信。
  • ターゲットの元に、外部からのTeams通話がかかってくる。発信元アカウントの名前は、「Help Desk Manager」。
  • 発信者(STAC5143)は、メールの問題の解決をサポートするために必要だとしてターゲットを説き伏せ、画面を遠隔操作するためのセッションをMicrosoft Teams内で立ち上げさせる。
  • ターゲットの画面を操作できるようになった攻撃者が、「MailQueue-Handler.jar」というJARファイルとPythonスクリプト(RPivotバックドア)を投下する。
  • このJARファイルによって、正規のProtonVPN実行ファイルをダウンロードしつつ有害なDLL(nethost.dll)をサイドロードするためのPowerShellコマンドが実行される。
  • nethost.dllによって外部IPとの暗号化されたC2接続が作られ、攻撃者によるターゲットPCへのリモートアクセスが可能になる。

RPivotとFIN7

このインシデントで展開されたRPivotは、サイバー脅威グループFIN7による過去の攻撃で使われていたペネトレーションテストツール。またSTAC5143の難読化テクニックは、FIN7のキャンペーンで過去に使われていたものと同様だった。このため両者が何らかの形で関連している可能性もある。ただ、RPivotも当該難読化テクニックで用いられるコードも誰もがアクセスできるツールであるため、SophosとしてはSTAC5143の攻撃とFIN7のアクティビティとを高い確度で結びつけることができないという。

STAC5777による2つ目のキャンペーン

Sophosによって観測された2つ目のインシデントは、同社が「STAC5777」として追跡するグループによるもので、メールボム攻撃からのMicrosoft Teamsを使ったITサポート詐欺という大まかな攻撃フローは同様。ただ、この攻撃では、ターゲットがMicrosoft Quick Assist(クイックアシスト)をインストールさせられ、攻撃者にハンズオンキーボードアクセスを提供してしまう点が1つ目のキャンペーンと異なる。攻撃者はその後、このアクセスを利用してマルウェア(winhttp.dll)をダウンロード。これにより、Windows API経由でターゲットユーザーのキーストロークがロギングされ、ファイルやレジストリからクレデンシャルが収集されるほか、さらに侵害を広げられないか調べるためにネットワークがスキャンされるという。

SophosはSTAC5777がBlack Bastaランサムウェアの投下を試みる様子を観測していることから、同脅威アクターはこのランサムウェアグループと何らかの形で関わっている可能性がある。

外部組織からのTeams通話制限を

この種の戦術がランサムウェア攻撃者に採用されるケースが増えてきていることから、Microsoft Teamsを利用する組織は、外部ドメインからのメッセージ/通話発信をブロックすることを検討すべきだとSophosは指摘。加えて、重要環境においてはQuick Assistを無効化するなどの対応も推奨した。同社は、GitHubページにおいて今回のキャンペーンに関するIoCも共有している

【無料配布中!】ランサムウェアリークサイトの分析レポート

ランサムウェアレポート:『リークサイト統計に見るランサムウェアグループの傾向』

さまざまなランサムウェアグループの過去3年分に及ぶリークサイトデータを弊社アナリストが分析し、ランサムウェアアクターを取り巻くエコシステムの変化を追ったレポートリークサイト統計に見るランサムウェアグループの傾向を、以下のバナーより無料でダウンロードいただけます。

<レポートの目次>

  • 要点
  • 掲載件数:全世界と日本の比較
  • グループ別内訳:全世界と日本の比較
    ✔️特筆すべきトレンド
    ⚪︎ALPHV / Blackcatが後退、RansomHubが台頭
    ⚪︎LockBitと8Base
    ⚪︎Clopは減少も、2023年には急増を観測
  • 業界別内訳:全世界と日本の比較

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ