Teamsのセキュリティ機能が“通用しない”マルスパムキャンペーンが増加中:セキュリティニュースアラート
TruesecはTeamsを悪用するマルスパムキャンペーン「DarkGate Loader」が増加していると報告した。このキャンペーンはTeamsのセキュリティ機能では対応困難であると指摘している。
セキュリティ企業のTruesecは2023年9月6日(現地時間、以下同)、マルウェア「DarkGate Loader」を「Microsoft Teams」(以下、Teams)を使って配布するマルスパムキャンペーンが増加していると伝えた。
この傾向はDarGate Loaderの開発者が2023年6月にサイバー犯罪フォーラムでマルウェア・アズ・ア・サービス(MaaS)の提供を開始してから見られるようになったという。
Teamsのセキュリティ機能は“効果なし” マルスパムキャンペーンの詳細は?
Truesecによると、このマルスパムキャンペーンは当初、初期攻撃ベクトルに電子メールを利用していたが、2023年8月にTeamsでのチャットメッセージによるソーシャルエンジニアリング攻撃が見つかったという。
TruesecのCSIRT(Computer Security Incident Response Team)の調査によると、2023年8月29日の11時25分〜12時25分の間に、あるアカウントからTeamsのチャットメッセージが送信されていた。このアカウントを調査したところ、マルスパムキャンペーン以前に侵害されていた外部の「Microsoft 365」アカウントだったという。
送信されたメッセージの内容は受信者にソーシャルエンジニアリングを駆使してリモートでホストされている悪意あるファイルをダウンロードさせるというもの。送信者は「Akkaravit Tattamanas」(63090101@my.buu.ac.th)と「ABNER DAVID RIVERA ROJAS」(adriverar@unadvirtual.edu.co)で、この2つのアカウントは2023年8月にダークWebで販売されていたことが確認されている。
誘導されてダウンロードしたZIPファイルにはPDFドキュメントを装った悪意あるLNKファイルが含まれており、このLNKファイルを開くと幾つかのプロセスを経て、条件が整った場合は最終的にDarkGate Loaderがダウンロードされる。
Truesecはこのサイバー攻撃について「『Safe Attachments』や『Safe Links』といったTeamsが提供しているセキュリティ機能では検出やブロックできない」と指摘している。この攻撃を防ぐ方法は、Teamsチャット要求を特定の外部ドメインのみ許可する方法しかないと説明している。
関連記事
- Microsoftの言い分は? “ざる”なセキュリティ慣行にベンダーらの追求相次ぐ
TenableのCEOであるアミット・ヨラン氏をはじめセキュリティベンダーや研究者、政府関係者らは、Microsoftのセキュリティ慣行が不十分であるとして激しく批判している。 - Microsoftの顧客に起きたハッキング被害 「影響は広範にわたる」と調査報告書
Microsoftの顧客の電子メールアカウントでハッキング被害が起きた件について、セキュリティ企業のWizが公開した調査報告書はOutlook.com以外のデータにもアクセスできる恐れがあると警告した。 - ExcelでPythonが利用可能に セットアップやインストールなども必要なし
MicrosoftはExcelにプログラミング言語「Python」の機能を統合した。本稿執筆段階ではパブリックプレビュー版としての提供となる。 - Microsoft、約25の顧客に影響を与えたStorm-0558によるハッキング被害の原因を公表
Microsoftは、複数の政府顧客を含む全世界の約25の顧客が、脅威グループ「Storm-0558」によってハッキングされた件について原因を報告した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.