Teamsのセキュリティ機能が“通用しない”マルスパムキャンペーンが増加中：セキュリティニュースアラート

TruesecはTeamsを悪用するマルスパムキャンペーン「DarkGate Loader」が増加していると報告した。このキャンペーンはTeamsのセキュリティ機能では対応困難であると指摘している。

[後藤大地，有限会社オングス]

　セキュリティ企業のTruesecは2023年9月6日（現地時間、以下同）、マルウェア「DarkGate Loader」を「Microsoft Teams」（以下、Teams）を使って配布するマルスパムキャンペーンが増加していると伝えた。

　この傾向はDarGate Loaderの開発者が2023年6月にサイバー犯罪フォーラムでマルウェア・アズ・ア・サービス（MaaS）の提供を開始してから見られるようになったという。

TruesecはTeamsを悪用するマルスパムキャンペーンが増加傾向にあると伝えた（出典：TruesecのWebサイト）

Teamsのセキュリティ機能は“効果なし”　マルスパムキャンペーンの詳細は？

　Truesecによると、このマルスパムキャンペーンは当初、初期攻撃ベクトルに電子メールを利用していたが、2023年8月にTeamsでのチャットメッセージによるソーシャルエンジニアリング攻撃が見つかったという。

　TruesecのCSIRT（Computer Security Incident Response Team）の調査によると、2023年8月29日の11時25分〜12時25分の間に、あるアカウントからTeamsのチャットメッセージが送信されていた。このアカウントを調査したところ、マルスパムキャンペーン以前に侵害されていた外部の「Microsoft 365」アカウントだったという。

　送信されたメッセージの内容は受信者にソーシャルエンジニアリングを駆使してリモートでホストされている悪意あるファイルをダウンロードさせるというもの。送信者は「Akkaravit Tattamanas」（63090101@my.buu.ac.th）と「ABNER DAVID RIVERA ROJAS」（adriverar@unadvirtual.edu.co）で、この2つのアカウントは2023年8月にダークWebで販売されていたことが確認されている。

　誘導されてダウンロードしたZIPファイルにはPDFドキュメントを装った悪意あるLNKファイルが含まれており、このLNKファイルを開くと幾つかのプロセスを経て、条件が整った場合は最終的にDarkGate Loaderがダウンロードされる。

　Truesecはこのサイバー攻撃について「『Safe Attachments』や『Safe Links』といったTeamsが提供しているセキュリティ機能では検出やブロックできない」と指摘している。この攻撃を防ぐ方法は、Teamsチャット要求を特定の外部ドメインのみ許可する方法しかないと説明している。