はじめに:偽の侵害警告によるフィッシング詐欺
現在、LastPassおよびBitwardenのユーザーを標的とした大規模なフィッシングキャンペーンが展開されています。このキャンペーンでは、両社がハッキングされたと偽のメールで通知し、ユーザーに「より安全なデスクトップ版パスワードマネージャー」をダウンロードするよう促しています。BleepingComputerの調査によると、これらのメールからダウンロードされるバイナリは、リモート監視・管理(RMM)ツールである「Syncro」をインストールします。攻撃者はこのSyncro MSPプログラムを利用して、リモートサポートおよびアクセスソフトウェアである「ScreenConnect」を展開し、結果としてユーザーのPCを乗っ取ります。
LastPassが警告:ハッキングは発生していない
LastPassは今週、脅威アラートを発令し、同社がサイバーセキュリティインシデントに遭っていないことを明確にしました。同社は、これらのメッセージが悪意のあるアクターによるソーシャルエンジニアリングの試みであり、受信者の注意を引き、緊急性を生み出す一般的な戦術であると述べています。LastPassによると、このキャンペーンはコロンブスデーの週末に開始され、人員が少ない時期を狙って検出を遅らせようとした可能性があります。
フィッシングメールは巧妙に作成されており、LastPassが「古い.exe形式」の代替として開発した、より安全なデスクトップアプリをインストールするよう促します。この「古い.exe形式」には、キャッシュされたボールト情報への不正アクセスを許す脆弱性があったと偽って主張しています。LastPassは、偽のメッセージが「hello@lastpasspulse[.]blog」から送信されていると指摘していますが、BleepingComputerは「hello@lastpasjournal[.]blog」からのメールも確認しています。
Bitwardenユーザーも標的に
同様のフィッシングメールはBitwardenユーザーも標的にしており、同じ文体と誘い文句で緊急性を煽り、受信者にダウンロードリンクから改善されたデスクトップアプリケーションをインストールするよう説得しようとしています。BleepingComputerは昨日、「hello@bitwardenbroadcast.blog」から、同様のセキュリティインシデントを説明し、ユーザーがインストールする必要があるセキュアなクライアントアプリのリリースを促す通知を受け取りました。
リモートアクセスツールの悪用
BleepingComputerがLastPassおよびBitwardenユーザーを標的としたフィッシングメールで配布されたバイナリサンプルを分析したところ、それらは機能的に同じであることが判明しました。このマルウェアは、Syncro MSPプラットフォームエージェントをインストールし、システムトレイアイコンを非表示にするパラメータを設定することで、ユーザーが新しいツールの存在に気づかないようにします。Syncroの唯一の目的は、ScreenConnectサポートツールを「持ち込み」インストーラーとして展開し、脅威アクターにエンドポイントへのリモートアクセスを提供することであると見られています。
Syncroエージェントは非常に少ないオプションで構成されており、脅威アクターが必要な機能のみに限定していることを示唆しています。設定ファイルによると、エージェントは90秒ごとにサーバーとチェックインしています。組み込みのリモートアクセスは有効になっておらず、SyncroプラットフォームにバンドルされているSplashtopや、統合が存在するTeamViewerなどのリモートサポートユーティリティも展開されていません。さらに、抽出された設定には、侵害されたエンドポイントにセキュリティソリューションを展開するポリシーは含まれておらず、Emsisoft、Webroot、Bitdefenderのエージェントは無効化されていました。
一度ScreenConnectがデバイスにインストールされると、脅威アクターはリモートでターゲットのコンピューターに接続し、さらなるマルウェアペイロードを展開したり、データを盗んだり、保存された認証情報を通じてユーザーのパスワードボールトにアクセスしたりする可能性があります。
1Passwordを狙った過去のキャンペーン
先週には、別のキャンペーンが1Passwordユーザーを標的とし、アカウントが侵害されたと偽って警告するメールを送信していました。この活動の兆候は、メッセージの文言やランディングURL、送信元アドレス(watchtower@eightninety[.]com)など、今回のキャンペーンとは異なっていました。ユーザーが埋め込みボタンをクリックすると、Mandrillappのリダイレクトを介してフィッシングページ(onepass-word[.]com)に誘導されました。この1Passwordを標的とした攻撃は、9月25日にBrett Christensen(Hoax-Slayer)によって最初に報告されています。
ユーザーへのアドバイスと対策
- パスワード管理ツールのユーザーは、このような警告を無視し、常にプロバイダーの公式ウェブサイトにログインして、保留中のセキュリティアラートを確認してください。
- メールで主張されているような重要なセキュリティインシデントは、企業のブログやプレスリリースを通じて広く伝えられます。そのため、公式チャネルで二重に確認することが常に良い習慣です。
- また、企業がパスワードボールトのマスターパスワードを尋ねることは決してありません。この点を覚えておくことが重要です。