サイバーニュース.jp

世界のサイバーなニュースを配信

フェイクZoomとGoogle MeetのフィッシングキャンペーンがTeramind監視ソフトを展開

カテゴリ:

概要

サイバー犯罪者は、ZoomやGoogle Meetを偽装した高度なフィッシング攻撃を行い、Windowsデバイスに合法的な企業向けエンドポイントモニタリング製品であるTeramindを不正に展開しています。このキャンペーンは、Teramindのステルス機能を利用して非承認の監視を行っています。

攻撃チェーンと配布メカニズム

攻撃者は偽装されたランディングページを使用し、公式ビデオコミュニケーションツールを模倣しています。既に機能を停止したZoomキャンペーンではドメインuswebzoomus[.]comが使用されていましたが、現在進行中のGoogle Meetのバリエーションはgooglemeetinterview[.]clickから動作しています。

このサイトは偽のMicrosoft Storeページを表示し、ダウンロードボタンをクリックすると被害者のデバイスに悪意のあるMSIインストーラーが静かにインストールされます。

攻撃手法

攻撃者は未変更のTeramindバイナリを使用しています。インストーラーは、ファイル名に40文字のヘックス文字列を埋め込むことで、攻撃者の特定のインスタンスIDを抽出する.NETカスタムアクション機能を利用します。

インストールが成功すると、「Hidden Agent」モード(TMSTEALTH = 1)でソフトウェアがインストールされ、タスクバーアイコンやプログラムリストエントリは表示されません。これにより、被害者は監視活動を認識することなく進行します。

持続性とサービス

このキャンペーンでは、攻撃者が利用する非常に堅牢な2つのサービスが展開されます。これらのサービスは終了した場合に自動的に再起動します。

  • Service Name: tsvchst
    Display Name: Service Host
    Executable: svc.exe -service
    Privilege Level: LocalSystem
  • Service Name: pmon
    Display Name: Performance Monitor
    Executable: pmon.exe
    Privilege Level: LocalSystem

インジケーターオブコムプローション(IOCs)

セキュリティチームは、以下のインジケーターをネットワークで監視する必要があります。

  • Type: SHA-256
    Description: 悪意のあるMSIインストーラー
    Indicator: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa
  • Type: MD5
    Description: 悪意のあるMSIインストーラー
    Indicator: AD0A22E393E9289DEAC0D8D95D8118B5
  • Type: Domain
    Description: Active Google Meet Lure
    Indicator: googlemeetinterview[.]click
  • Type: Domain
    Description: Offline Zoom Lure
    Indicator: uswebzoomus[.]com
  • Type: C2 Server
    Description: Default C2 Callback
    Indicator: rt.teramind.co

対策と修復手順

防御者は、{4CEC2908-5CE4-48F0-A717-8FC833D8017A}のProgramDataディレクトリGUIDを検索することで侵害されたデバイスを特定できます。また、非コーポレートマシンでtsvchstとpmonサービスが実行されている場合や、tm_filter.sysおよびtmfsdrv2.sysカーネルドライバーが予期せず読み込まれている場合にアラートを発生させるべきです。

組織はMSIの実行をユーザーのダウンロードディレクトリからブロックし、ブラウザポリシーで未認証のドメインに対して警告を表示するように設定することを検討すべきです。不正なソフトウェアを削除するには管理者がmsiexec /x {4600BEDB-F484-411C-9861-1B4DD6070A23} /qbコマンドを使用し、関連するProgramDataディレクトリを手動で削除し、システムを再起動してメモリーからカーネルドライバーを完全にアンロードする必要があります。

結論

この攻撃は高度なフィッシング手法と合法製品の悪用により、企業ネットワークへの深刻な脅威となっています。組織は適切な対策を講じることで、このような攻撃から自社のシステムを保護することが重要です。

元記事: https://gbhackers.com/fake-zoom-and-google-meet-phishing-campaigns/

投稿をさらに読み込む