ハッカーがMicrosoft Teamsを利用して従業員をだます
サイバーセキュリティ研究者らは、Blitz BrigantineまたはStorm-1811と呼ばれる脅威グループが、金融や医療組織の従業員を標的として、内部ITサポートを装って攻撃を仕掛けていることを発見しました。この攻撃では、攻撃者は新しいツールであるA0Backdoorを展開します。
攻撃の手順
攻撃は大量のスパムメールの洪水から始まります。その後、ハッカーはMicrosoft Teamsを通じて、会社のヘルプデスクスタッフであると偽って、メールの問題を解決するためのリモートアクセスを要求します。これにより、被害者はWindows Quick Assistを開くよう誘導され、これにより攻撃者は完全なマシンコントロールを獲得します。
マルウェアの展開と隠蔽
リモートアクセスが確保されると、攻撃者は悪意のあるインストーラーパッケージをダウンロードします。これらのファイルは、正当なMicrosoft TeamsやWindowsのアップデートとして偽装されています。さらに、攻撃者はファイルを個人のMicrosoftクラウドストレージアカウントにホストし、デジタル証明書で署名することで、ファイルが完全に安全であるように見せかけます。
A0BackdoorとDNSステルス戦略
インストーラーが実行されると、実際のMicrosoftプログラムと偽の悪意のあるファイルであるhostfxr.dllが隣接して配置されます。この偽のファイルは、DLLサイドローディングと呼ばれる隠蔽プロセスを通じて、実際のプログラムが開始されたときに悪意のあるコードを実行します。
攻撃の隠蔽と通信
A0Backdoorは、DNSトンネリングと呼ばれる巧妙な隠蔽技術を使用して、攻撃者と通信します。これにより、攻撃者は信頼できるパブリックDNSリゾルバーサーバー(例:1.1.1.1や8.8.8.8)を通じて、不審なハッカーのコマンドサーバーと通信することができます。
組織への対策
このキャンペーンは、Blitz Brigantineグループの戦術が、従来のランサムウェアから高度にカスタマイズされたステルス攻撃に移行したことを示しています。組織は従業員に対して、Microsoft TeamsでのすべてのITサポート要求を慎重に確認するよう訓練するべきです。また、Quick Assistなどのリモートアクセスツールの使用を監視し、ブロックリストにないインストーラーパッケージをブロックすることで、これらの攻撃を防ぐことができます。