Last Updated on 2024-05-14 06:51 by 荒木 啓介
Black Basta、新たなヴィッシング戦略で500の組織を標的に
Black Bastaは、スパムメールの大量送信と偽のカスタマーサービス担当者によるマルウェアのダウンロード誘導を組み合わせた新しいキャンペーンを展開している。FBI、CISA、HHS、MS-ISACからの共同サイバーセキュリティアドバイザリーによると、Black Bastaは通常、スピアフィッシングやソフトウェアの脆弱性を利用して機密性の高い組織への初期アクセスを得ている。しかし、Rapid7の研究者たちは、Black Bastaがスパムメールを大量に送信し、その後、被害者に連絡して支援を申し出るという新しい手法を取っていることを観察した。
この攻撃は、製造業、建設業、飲食業、運輸業など多岐にわたる業界の組織を標的にしており、攻撃は機会主義的であるとされる。攻撃者は、AnyDeskやWindowsのQuick Assistツールのダウンロードを促し、被害者のコンピュータへのアクセスを得る。その後、攻撃者はバッチスクリプトを実行し、Windowsレジストリに実行キーを作成して、被害者のマシンが再起動されるたびにコマンドアンドコントロール(C2)インフラストラクチャへのシェルアクセスを確立する。
Rapid7は、組織が使用するRMMソリューションを確認し、AppLockerやMicrosoft Defender Application Controlなどのホワイトリストツールを使用して、許可されていないRMMをブロックすることを推奨している。また、この活動を完全にブロックできない場合は、AnyDeskのインストールと実行を監視し、既知のソフトウェア展開方法と比較して異常な動作を調査することが推奨されている。
【ニュース解説】
Black Bastaというサイバー犯罪グループが、新たな手法を用いて500以上の組織を標的にしています。従来、スピアフィッシングやソフトウェアの脆弱性を突くことでアクセスを得ていたこのグループは、今回、大量のスパムメール送信と偽のカスタマーサービス担当者を装って被害者に接触し、マルウェアのダウンロードを促すという新しい戦略を採用しています。
この攻撃は、製造業、建設業、飲食業、運輸業など様々な業界に及んでおり、攻撃の手法は機会主義的であると指摘されています。攻撃者は、被害者にAnyDeskやWindowsのQuick Assistといったリモートサポートツールのダウンロードを促し、これによって被害者のコンピュータへのアクセスを確立します。その後、攻撃者はバッチスクリプトを実行し、Windowsレジストリに特定のキーを作成して、被害者のマシンが再起動されるたびに攻撃者のコマンドアンドコントロール(C2)インフラストラクチャへのアクセスを確立するという手法を取ります。
このような攻撃に対抗するため、Rapid7は組織に対して、使用しているリモートモニタリングおよび管理(RMM)ソリューションを確認し、AppLockerやMicrosoft Defender Application Controlなどのホワイトリストツールを使用して、許可されていないRMMの使用をブロックすることを推奨しています。また、この活動を完全にブロックできない場合は、AnyDeskのインストールと実行を監視し、既知のソフトウェア展開方法と比較して異常な動作を調査することが推奨されています。
この新しい攻撃手法の採用は、サイバーセキュリティの脅威が常に進化していることを示しています。組織は、従来のセキュリティ対策だけでなく、新たな脅威に対応するための継続的な警戒と対策の更新が必要です。また、従業員への教育と意識向上も、このような攻撃から組織を守る上で重要な役割を果たします。サイバーセキュリティは、技術的な対策だけでなく、人的な側面も含めた総合的なアプローチが求められる分野であることが、この事例からも明らかです。
from 500 Victims In, Black Basta Reinvents With Novel Vishing Strategy.
