概要
BlueVoyantの新しい研究によると、攻撃者はMicrosoft TeamsとQuick Assistを悪用し、新しい隠密的なバックドア「A0Backdoor」を展開しています。このキャンペーンは、Black BastaやCactusなどのランサムウェア活動に関連するBlitz Brigantine(Storm-1811)と関連があるとされています。
攻撃手法
攻撃者は、電子メールの洪水攻撃から始まり、ユーザーのメールボックスをスパムで満たし、混乱と緊急性を引き起こします。その後、攻撃者はITサポートスタッフを装い、Microsoft Teamsを通じてユーザーに「問題を解決する」ためにQuick Assistのリモートセッションを開始するよう誘導します。
A0Backdoorの展開
ユーザーがリモートアクセスを許可すると、攻撃者はデジタル署名付きのMSIインストーラをダウンロードし、実行します。これらのインストーラは、Microsoft TeamsやCrossDeviceServiceのコンポーネントとして偽装されています。
技術的な詳細
BlueVoyantは、これらのMSIファイルがMicrosoftのパーソナルクラウドストレージ(my[.]microsoftpersonalcontent[.]com)にホストされ、トークン化されたURLを介してアクセスされることを報告しています。これにより、ファイルが安全に見え、後からの法的調査が難しくなります。
A0Backdoorの機能
A0Backdoorは、DNSトンネリングを介してコマンド&コントロール(C2)インフラストラクチャに接続します。具体的には、MX(メール交換)クエリを使用し、一般的な再帰解決者(1.1.1.1や8.8.8.8)にのみ送信されます。
対策と防御
- Quick AssistとTeamsのガバナンスを強化する。
- 個人のOneDriveやMicrosoftのパーソナルコンテンツのダウンロードを監視する。
- DNSパターンを調査し、高エントロピーのMXクエリを特定する。
結論
この攻撃は、金融や医療業界が特にリスクが高いことを示しています。これらの業界は、攻撃者がこのサポートテーマの侵入手法を継続的に改良するにつれて、さらなる脅威にさらされる可能性があります。