はじめに:偽のパスワードマネージャー侵害警告が横行
現在、LastPassおよびBitwardenのユーザーを標的としたフィッシングキャンペーンが展開されています。このキャンペーンでは、両社がハッキングされたと偽の警告を発し、ユーザーに「より安全なデスクトップ版」パスワードマネージャーのダウンロードを促しています。しかし、BleepingComputerの調査によると、ダウンロードされるバイナリは、IT運用を効率化するためにマネージドサービスプロバイダー(MSP)が使用するリモート監視・管理(RMM)ツールであるSyncroをインストールします。脅威アクターは、このSyncro MSPプログラムを利用して、リモートサポートおよびアクセスソフトウェアであるScreenConnectを展開しています。
LastPassを装った手口の詳細
今週の脅威アラートで、LastPassは同社がサイバーセキュリティインシデントに遭っていないことを明確にしました。これらのメッセージは、脅威アクターによるソーシャルエンジニアリングの試みであり、受信者の注意を引き、緊急性を生み出すための一般的な手口であると述べています。LastPassによると、このキャンペーンはコロンブスデーの週末に開始され、人員が手薄になる時期を狙って検出を遅らせる意図があったと見られています。
フィッシングメールは巧妙に作成されており、「古くなった.exe形式」の脆弱性を悪用し、保管庫データへの不正アクセスを許す可能性があるとして、LastPassが開発したMSI形式の「より安全なデスクトップアプリ」をインストールするよう促します。偽のセキュリティアラートには、「攻撃者は古い.exeインストールの脆弱性を悪用し、特定の条件下でキャッシュされた保管庫データへの不正アクセスを許す可能性があった」と記載されています。
LastPassは、偽のメッセージが「hello@lastpasspulse[.]blog」から送信されていると指摘していますが、BleepingComputerは「hello@lastpasjournal[.]blog」からのメールも確認しています。
Bitwardenユーザーも標的に
同様のフィッシングメールはBitwardenも装っており、同じ文体と誘い文句で緊急性を生み出し、ユーザーに改善されたデスクトップアプリケーションのダウンロードリンクをクリックするよう説得しようとします。BleepingComputerは昨日、「hello@bitwardenbroadcast.blog」から、同様のセキュリティインシデントを説明し、ユーザーがインストールする必要があるセキュアなクライアントアプリのリリースを促す通知を受け取りました。
本稿執筆時点では、Cloudflareは詐欺的なメールに含まれるランディングページへのアクセスをブロックし、フィッシングの試みとしてマークしています。
マルウェアの技術的詳細:SyncroとScreenConnectの悪用
BleepingComputerは、LastPassおよびBitwardenユーザーを標的としたフィッシングメールで配布されたバイナリサンプルを回収し、それらが機能的に同一であることを発見しました。このマルウェアは、ユーザーに新しいツールを気づかせないように、システムトレイアイコンを非表示にするパラメータでSyncro MSPプラットフォームエージェントをインストールします。
Syncroの唯一の目的は、脅威アクターにエンドポイントへのリモートアクセスを提供するScreenConnectサポートツールを「持ち込み」インストーラーとして展開することであると見られます。Syncroエージェントは非常に少ないオプションで構成されており、脅威アクターが必要とする機能のみに限定されていることを示唆しています。構成ファイルは、エージェントが90秒ごとにサーバーとチェックインすることを示しています。組み込みのリモートアクセスは有効になっておらず、SyncroプラットフォームにバンドルされているSplashtopや、統合が存在するTeamViewerなどのリモートサポートユーティリティも展開しません。さらに、抽出された構成には、侵害されたエンドポイントにセキュリティソリューションを展開するポリシーは含まれておらず、Emsisoft、Webroot、Bitdefenderのエージェントは無効化されていました。
ScreenConnectがデバイスにインストールされると、脅威アクターはターゲットのコンピューターにリモートで接続し、さらなるマルウェアペイロードを展開したり、データを盗んだり、保存された認証情報を通じてユーザーのパスワード保管庫にアクセスしたりする可能性があります。
1Passwordを狙った別のキャンペーン
先週、別のキャンペーンが1Passwordユーザーを標的とし、アカウントが侵害されたという偽の警告メールを送信しました。この活動の兆候は、メッセージの文言やランディングURL、送信元アドレス(watchtower@eightninety[.]com)など、上記とは異なっていました。ユーザーが埋め込みボタンをクリックすると、Mandrillappのリダイレクトを介してフィッシングページ(onepass-word[.]com)に誘導されます。このフィッシングページは、マスターパスワードの入力を要求します。
ユーザーへの注意喚起と対策
パスワード管理ツールを使用しているユーザーは、このような警告を無視し、常にプロバイダーの公式ウェブサイトにログインして、保留中のセキュリティアラートがないか確認する必要があります。メールで主張されているような重要なセキュリティインシデントは、企業のブログやプレスリリースを通じて広く告知されるため、公式チャネルで再確認することが常に良い習慣です。また、企業が保管庫のマスターパスワードを尋ねることは決してないことを覚えておくことが重要です。