カナダ企業が発見、リクルーター狙う巧妙なフィッシング攻撃の脅威拡大

2024年6月11日0:59

カナダのサイバーセキュリティ企業eSentireは、2024年5月に産業サービス業界のある企業を狙ったフィッシング攻撃を発見した。この攻撃では、履歴書に偽装されたMore_eggsマルウェアが使用され、特にリクルーターを標的にしていた。More_eggsは、機密情報を収集する能力を持つモジュラー型のバックドアであり、マルウェア・アズ・ア・サービス（MaaS）モデルで他の犯罪者に提供されている。攻撃者はLinkedInの求人投稿に反応し、偽の履歴書ダウンロードサイトへのリンクを送り、そこから悪意のあるWindowsショートカットファイル（LNK）をダウンロードさせる手法を取った。このLNKファイルは、正規のMicrosoftプログラムであるie4uinit.exeを利用して悪意のあるDLLを取得し、regsvr32.exeを使用してライブラリを実行し、感染したホストに関するデータを収集し、JavaScriptベースのMore_eggsバックドアを含む追加のペイロードをドロップする。

eSentireはまた、KMSPico Windowsアクティベーターツールの偽のウェブサイトを使用してVidar Stealerを配布するドライブバイダウンロードキャンペーンの詳細を明らかにした。これらの偽のウェブサイトは、自動化されたウェブクローラーからページと最終的なペイロードを隠すために、人間の入力（コードの入力）を必要とする。同様のソーシャルエンジニアリングキャンペーンでは、Advanced IP Scannerなどの正規のソフトウェアを模倣した偽サイトが設置され、Cobalt Strikeを配布している。

V3Bと呼ばれる新しいフィッシングキットが、欧州連合の銀行顧客を狙って認証情報とワンタイムパスワード（OTP）を盗む目的で使用されている。V3Bは、ダークウェブと専用のTelegramチャンネルを通じて月額130ドルから450ドルで提供されるPhishing-as-a-Service（PhaaS）モデルであり、2023年3月から活動している。このキットは、オンラインバンキングとeコマースシステムで一般的なさまざまな認証および検証プロセスを模倣するためのカスタマイズされたローカライズされたテンプレートを特徴とし、被害者とリアルタイムでやり取りしてOTPとPhotoTANコードを取得し、QRコードを介してサインインするサービス（例：WhatsApp）に対するQRコードログインジャッキング（QRLJacking）攻撃を実行する高度な機能を備えている。

【ニュース解説】

カナダのサイバーセキュリティ企業eSentireが2024年5月に発見したフィッシング攻撃では、産業サービス業界のある企業を狙い、特にリクルーターを標的にしていました。この攻撃で使用されたMore_eggsマルウェアは、履歴書に偽装されており、LinkedInの求人投稿に反応する形で配布されました。More_eggsは、機密情報を収集する能力を持つモジュラー型のバックドアであり、マルウェア・アズ・ア・サービス（MaaS）モデルで他の犯罪者に提供されています。攻撃者は偽の履歴書ダウンロードサイトへのリンクを送り、そこから悪意のあるWindowsショートカットファイル（LNK）をダウンロードさせる手法を取りました。このLNKファイルは、正規のMicrosoftプログラムを利用して悪意のあるDLLを取得し、その後、ライブラリを実行して感染したホストに関するデータを収集し、JavaScriptベースのMore_eggsバックドアを含む追加のペイロードをドロップします。

eSentireはまた、KMSPico Windowsアクティベーターツールの偽のウェブサイトを使用してVidar Stealerを配布するドライブバイダウンロードキャンペーンの詳細を明らかにしました。これらの偽のウェブサイトは、自動化されたウェブクローラーからページと最終的なペイロードを隠すために、人間の入力（コードの入力）を必要とします。同様のソーシャルエンジニアリングキャンペーンでは、Advanced IP Scannerなどの正規のソフトウェアを模倣した偽サイトが設置され、Cobalt Strikeを配布しています。

V3Bと呼ばれる新しいフィッシングキットは、欧州連合の銀行顧客を狙って認証情報とワンタイムパスワード（OTP）を盗む目的で使用されています。V3Bは、ダークウェブと専用のTelegramチャンネルを通じて月額130ドルから450ドルで提供されるPhishing-as-a-Service（PhaaS）モデルであり、オンラインバンキングとeコマースシステムで一般的なさまざまな認証および検証プロセスを模倣するためのカスタマイズされたローカライズされたテンプレートを特徴としています。このキットは、被害者とリアルタイムでやり取りしてOTPとPhotoTANコードを取得し、QRコードを介してサインインするサービスに対するQRコードログインジャッキング（QRLJacking）攻撃を実行する高度な機能を備えています。

これらの攻撃は、サイバーセキュリティの脅威がますます巧妙化していることを示しています。特に、リクルーターやHR担当者は、履歴書や求人応募といった通常の業務プロセスを通じて攻撃を受ける可能性があります。このような攻撃は、企業の機密情報や個人情報の漏洩につながるリスクを高めるため、従業員教育の強化やセキュリティ対策の見直しが急務です。また、フィッシング攻撃の手法が進化し続ける中で、企業や個人は常に警戒を怠らず、最新のセキュリティ情報に注意を払う必要があります。

from More_eggs Malware Disguised as Resumes Targets Recruiters in Phishing Attack.