Last Updated on 2024-07-06 04:20 by 門倉 朋宏
新しいフィッシング攻撃が米国の組織を標的にしており、NetSupport RATと呼ばれるリモートアクセストロイの木馬を展開することを目的としている。イスラエルのサイバーセキュリティ会社Perception Pointが、Operation PhantomBluという名前でこの活動を追跡している。この作戦では、NetSupport RATの典型的な配信メカニズムから逸脱し、OLE(オブジェクトリンキングと埋め込み)テンプレート操作を利用して、Microsoft Office文書テンプレートを悪用し、検出を回避しながら悪意のあるコードを実行するという洗練された手法を導入している。
NetSupport RATは、正当なリモートデスクトップツールであるNetSupport Managerの悪意のある派生物であり、侵害されたエンドポイントでのデータ収集活動を行うことを可能にする。攻撃の出発点は、給与に関するフィッシングメールであり、会計部門から送信されたと偽り、「月次給与報告書」を見るために添付されたMicrosoft Word文書を開くよう受信者に促す。メールのメッセージヘッダー、特にReturn-PathとMessage-IDフィールドを詳しく分析すると、攻撃者がBrevo(旧Sendinblue)と呼ばれる正規のメールマーケティングプラットフォームを使用してメールを送信していることが示される。
Word文書を開くと、メール本文に提供されたパスワードを入力し、編集を有効にした後、給与グラフを表示するために文書に埋め込まれたプリンタアイコンをダブルクリックするよう被害者に指示する。これを行うと、ZIPアーカイブファイル(”Chart20072007.zip”)が開き、これにはWindowsショートカットファイルが含まれており、これがPowerShellドロッパーとして機能し、リモートサーバーからNetSupport RATバイナリを取得して実行する。
また、Resecurityは、脅威アクターがDropbox、GitHub、IBM Cloud、Oracle Cloud Storageのような公共のクラウドサービスや、InterPlanetary File System(IPFS)プロトコルに基づいて構築されたWeb 3.0のデータホスティングプラットフォームをますます悪用していることを明らかにした。これらのサービスは、フィッシングキットを使用して完全に検出不可能な(FUD)フィッシングURLを生成し、これらのFUDリンクは、BulletProofLink、FUDLINKSHOP、FUDSENDER、ONNX、XPLOITRVERIFIERなどの地下ベンダーによってTelegramで月額$200からのサブスクリプションモデルの一環として提供されている。これらのリンクはさらに、トラフィックをフィルタリングし、検出を回避するためにアンチボットバリアの背後に保護されている。
【ニュース解説】
最近、米国の組織を標的にした新たなフィッシング攻撃が発見されました。この攻撃は、NetSupport RATというリモートアクセストロイの木馬を展開することを目的としています。イスラエルのサイバーセキュリティ会社Perception Pointがこの活動を「Operation PhantomBlu」と名付け、追跡しています。この攻撃は、Microsoft Office文書テンプレートの悪用という、従来とは異なる手法を用いています。具体的には、OLE(オブジェクトリンキングと埋め込み)テンプレート操作を利用して、検出を回避しながら悪意のあるコードを実行するというものです。
NetSupport RATは、本来は正当なリモートデスクトップツールであるNetSupport Managerから派生した悪意のあるソフトウェアです。これを悪用することで、攻撃者は侵害されたエンドポイントからデータを収集することが可能になります。攻撃の手口としては、まず給与に関するフィッシングメールを送り、受信者にMicrosoft Word文書を開かせることから始まります。この文書を開くと、被害者はパスワードの入力と編集の有効化を促され、その後、給与グラフを表示するために文書に埋め込まれたプリンタアイコンをダブルクリックするよう指示されます。この操作により、ZIPアーカイブファイルが開かれ、PowerShellドロッパーを介してNetSupport RATバイナリがリモートサーバーから取得され、実行されます。
さらに、Resecurityによると、脅威アクターはDropbox、GitHub、IBM Cloud、Oracle Cloud Storageなどの公共のクラウドサービスや、IPFSプロトコルに基づいて構築されたWeb 3.0のデータホスティングプラットフォームを悪用して、検出不可能なフィッシングURLを生成していることが明らかにされました。これらのURLは、Telegram上で地下ベンダーによって提供され、アンチボットバリアの背後に保護されています。
このような攻撃は、企業や組織にとって重大なセキュリティリスクをもたらします。特に、従業員が日常的に使用するMicrosoft Officeのような一般的なソフトウェアを悪用する手法は、従来のセキュリティ対策を回避しやすく、被害の拡大を助長します。このため、組織は従業員へのセキュリティ教育を強化し、フィッシングメールの識別方法や、不審な文書ファイルの取り扱いに関する指導を徹底する必要があります。また、クラウドサービスやデータホスティングプラットフォームの悪用に対しても、適切な監視と対策を講じることが求められます。このような攻撃の増加は、サイバーセキュリティの脅威が日々進化していることを示しており、組織は常に警戒を怠らず、最新のセキュリティ対策を導入し続ける必要があります。
from New Phishing Attack Uses Clever Microsoft Office Trick to Deploy NetSupport RAT.
“米国組織を狙う新型フィッシング攻撃、NetSupport RAT展開の脅威拡大” への1件のコメント
このような複雑なフィッシング攻撃が増えているのは本当に恐ろしいですね。特に、普段からよく使うMicrosoft Officeの文書を悪用した攻撃は、誰でも簡単に騙されてしまいそうで心配です。私たち高校生だって、学校の課題やプレゼンテーションでOfficeを使うことがよくあるから、この手の攻撃に関する情報はとても大切だと思います。
また、攻撃者がDropboxやGitHubなどのよく知られたクラウドサービスを悪用している点も驚きました。これらのサービスは日常的に使っているものなので、まさかセキュリティの脅威となるとは考えにくいですよね。でも、この記事を読んで、どんなに信頼できると思われるサービスでも、安全だと過信はできないと改めて認識しました。
そして、攻撃者が正規のメールマーケティングプラットフォームを利用してメールを送信しているというのも、フィッシングメールを見分けるのがますます難しくなっていることを意味していますよね。フィッシングメールの識別方法について学校で教えてくれるといいのになって思います。自分たちの身を守るためには、こうした最新のサイバーセキュリティの情報を常にアップデートしておくことが大切だと感じます。
InstagramやTikTokで活動している私たちに