はじめに:Googleが警告する新たな脅威
Googleの脅威インテリジェンスグループ(GTIG)は、ベトナムを拠点とする金銭目的の脅威アクター集団が仕掛ける巧妙なソーシャルエンジニアリングキャンペーン「UNC6229」を発見しました。このキャンペーンの最終的な目的は、企業の広告アカウントを侵害し、貴重な認証情報を窃取して転売または直接収益化することにあります。
標的と手口:信頼を悪用するサイバー犯罪
UNC6229は、特にデジタル広告業界のリモートワーカー、特に契約社員やパートタイムで積極的に求職活動を行っている個人を標的にしています。彼らは、正規の求人プラットフォームに偽の求人情報を掲載し、求職者の信頼を悪用します。これにより、マルウェアやフィッシングキットを送り込み、デジタル広告およびマーケティング分野の企業アカウントを狙います。
- 偽の企業プロファイル: 人気のある求人プラットフォーム上に、デジタルメディアエージェンシーやリクルーターを装った説得力のある偽の企業プロファイルを作成します。
- 被害者主導の接触: 不審に思わない求職者がこれらの偽の職に応募することで、個人情報や連絡先を提供し、攻撃者との接触を開始してしまいます。
- 正規ツールの悪用: Salesforce、Google Groups、Google AppSheetなどの正規のビジネスツールを悪用して大量のメールを送信し、セキュリティフィルターを回避して正当なものに見せかけます。
攻撃チェーン:マルウェアとフィッシングの手口
信頼関係を築いた後、脅威アクターはペイロードの配信に進みます。攻撃の手口は主に二つあります。
- マルウェア感染: スキル評価、応募フォーム、または予備的な採用タスクと偽装されたパスワード保護付きZIPファイルが被害者に送られます。これらのアーカイブには、被害者のデバイスを完全に制御し、アカウント乗っ取りや認証情報窃取を可能にするリモートアクセス型トロイの木馬(RAT)が含まれています。
- フィッシング詐欺: 巧妙に偽装されたフィッシングページへのリンクが送られ、企業の認証情報が狙われます。UNC6229に関連するフィッシングキットの分析により、OktaやMicrosoftなどのプロバイダーの企業メールアカウントや多要素認証スキームを標的とする高度な認証情報窃取インフラが明らかになっています。
収益化とGoogleの対応
侵害されたアカウントは、広告の販売や他の悪意のあるアクターへの所有権移転を通じて収益化されます。Googleは、この調査結果をセキュリティコミュニティと共有し、特定された悪意のあるインフラをSafe Browsingブロックリストに追加して、主要なブラウザのユーザーを保護する措置を講じています。
脅威の背景と対策
この「偽のキャリア」を餌にした手口は、求職者の基本的な行動と職業上の必要性を悪用するため、非常に強力な脅威となります。従来のフィッシングキャンペーンとは異なり、被害者は潜在的な雇用主との正当なビジネス接触を開始していると信じ込んでいるため、操作に対してはるかに脆弱です。
GTIGは、UNC6229がツール、技術、インフラを共有する金銭目的の個人の協力的なクラスターとして機能していると高い確信を持って評価しています。組織は、従業員の意識向上トレーニングを強化し、堅牢なアカウントセキュリティ対策を導入して、進化するこれらの脅威から身を守る必要があります。