概要

北朝鮮に関連する脅威グループUNC1069 は、社会工学攻撃を行い、マルウェアを配布するために偽のMicrosoft Teamsドメインを使用しています。この脅威アクターは、金融的な動機を持つとされ、4月6日2026年にセキュリティ連合が新しい悪意のあるドメインonlivemeet[.]com を展開していることを確認しました。

攻撃手法

UNC1069は、高度な社会工学的手法を使用して信頼を構築し、その後に攻撃を開始します。セキュリティ研究者は、彼らが使用する特定の方法について次のように観察しています：

• 以前に侵害されたTelegramやLinkedInアカウントから古い会話を復活させることで正当性を装う。
• Slack上の偽またはなりすましの企業グループチャットからパートナーシップ、投資家、またはジョブ招待電話を送信する。
• Calendlyなどの合法的なサービスを使用してこれらの偽の会議を事前にスケジュールすることで誘いに信憑性を持たせる。

攻撃の仕組み

被害者が会議リンクをクリックすると、彼らは高度に現実的なが偽のMicrosoft Teamsウェブページにリダイレクトされます。これらの詐欺的なページは、正当なMicrosoftインターフェースを完全に模倣して、被害者の警戒心を下げるよう設計されています。

この不正なページはユーザーに「TeamsFx SDK」が非推奨になったと通知し、更新ボタンをクリックするように促します。このアクションにより、悪意のあるペイロードがダウンロードされ、技術的なソフトウェア修正が必要であるかのように偽装されます。

防御策

セキュリティチームと従業員は、コミュニケーションチャネルを確認することによりこれらの攻撃から身を守る必要があります。ユーザーは常にクリックする前に表示されている実際のURLをチェックし、SlackやTelegramなどのアプリケーションで表示されるテキストが本当のウェブアドレスと一致していることを確認するべきです。

組織は特にソフトウェア更新が必要であると要求する予期しない会議リクエスト（既知の連絡先からのものであっても）に対して注意を払うべきです。

元記事: https://gbhackers.com/threat-actors-weaponize-fake-microsoft-teams/