脅威の調査

Sophos MDR、「メール爆弾」と「ビッシング」を使用した 2 つのランサムウェアキャンペーンを追跡

Storm-1811 を模倣し、Black Basta ランサムウェアに関連するオリジナルの活動を強化した新たな脅威活動クラスタを、Sophos MDR が特定

** 本記事は、Sophos MDR tracks two ransomware campaigns using “email bombing,” Microsoft Teams “vishing” の翻訳です。最新の情報は英語記事をご覧ください。**

Sophos X-Ops の Managed Detection and Response (MDR) は、2 組の脅威グループに関連するインシデントにアクティブに対応しています。これらの脅威グループはそれぞれ、Microsoft の Office 365 プラットフォームの機能を利用し、データの窃取とランサムウェアの展開を目的として標的組織にアクセスしています。

Sophos MDR は、2024 年 11 月と 12 月に発生したお客様のインシデントへの対応を機に、これら 2 組の異なる脅威活動クラスタの調査を開始しました。ソフォスはこれらの脅威を STAC5143 および STAC5777 として追跡しています。どちらの脅威グループも、攻撃の一環として Microsoft Office 365 サービステナントを独自運用し、外部ドメインのユーザーが内部ユーザーとチャットやミーティングを開始できる Microsoft Teams のデフォルト設定を利用していました。

STAC5777 は、Microsoft が以前 Storm-1811 として特定した脅威グループと重複しています。STAC5143 は、Storm-1811 の攻撃手法をコピーした、これまでに報告されていない脅威活動クラスタであり、FIN7、Sangria Tempest、または Carbon Spider として知られる攻撃者に関係する可能性があります。

Sophos MDR は、これらの脅威活動クラスタに関する詳細なレポートを公開することで、これらの継続的な脅威の検出とブロックを支援し、Office 365 プラットフォームを使用する組織において、これらの戦術の広がりに対する認識を向上させることを目的としています。Sophos MDR では、過去 3 か月間にこれらの戦術を含むインシデントを 15 件以上観測しており、その半数は過去 2 週間に発生したものです。

共通の戦術には以下のようなものがあります。

  • メール爆弾 – 大量のスパムメール (1 時間足らずで 3,000 通) を送り付けて組織内の数人の Outlook メールボックスを埋め尽くし、危機感を煽ります。
  • 攻撃者がコントロールする Office 365 インスタンスから、組織の技術サポートを装って、標的となる従業員に Teams メッセージを送信したり、Teams 音声通話やビデオ通話をかけたりします。
  • Microsoft のリモートコントロールツール (Quick Assist または Teams の画面共有を通じて直接) を使用して標的となった個人のコンピューターを制御し、マルウェアをインストールします。

STAC5143:

  • Teams 内蔵リモートコントロール
  • 標的のコンピューターの侵害を自動化する Java アーカイブ (JAR) と Java ランタイム
  • JAR は、リモートの SharePoint リンクからダウンロードされた .zip ファイルから Python ベースのバックドアを抽出します。
  • FIN7 に関連するテクニックやツールを使用

STAC5777:

  • Microsoft Quick Assist
  • 手動での構成変更とマルウェアの展開
  • 常駐化を確立し、認証情報を窃取し、ネットワークリソースの検出を可能にする、悪意のあるサイドローディング DLL を備えた正規の Microsoft アップデータを展開します。
  • RDP と Windows Remote Management を使って標的ネットワーク上の他のコンピューターにアクセスします。
  • ある事例では、Black Basta ランサムウェアが展開されました。
  • 攻撃の手法、用いられるツール、攻撃手順は、Microsoft が特定した攻撃者である Storm-1811 と重複しています。
  • 非常に活発な脅威

本記事では、この 2 件の脅威活動クラスタの手口について詳述しています。これらの脅威活動クラスタはいずれも同じ攻撃パターンを踏襲しており、マルウェアの配信を伴うメール爆撃や偽の技術サポートによるソーシャルエンジニアリング、Microsoft の Office 365 プラットフォームを介した正規サービスの悪用、コマンドアンドコントロールツールやデータ窃取ツールの展開を試みます。

私たちは、この 2 件の攻撃活動がランサムウェアの展開やデータ窃取恐喝活動の一部であることを確信しています。

STAC5143

ソフォスが観測した 2 件の攻撃においてこの脅威活動クラスタから確認されたマルウェアの一部は eSentireSekoia が観測した FIN7 による攻撃と類似していましたが、通常の FIN7 タイプの攻撃とは異なる点がいくつかありました。FIN7 は、主にフィッシングや (最近では) 悪意のあるスポンサー付き Google 広告を通じて標的を狙い、マルウェアを配信することで知られています。 今回の攻撃チェーンはこれまでとは異なり、FIN7 の通常の標的よりも小規模で異なる事業分野の組織を標的としていました。

攻撃チェーン

初期アクセス

11 月上旬、Sophos MDR のあるユーザー組織の従業員が、45 分間に 3,000 件を超える大量のスパムメッセージを受信したことを社内の IT 担当者に報告しました。 その直後、その従業員宛てに社外の「Help Desk Manager」というアカウントから Teams に着信がありました。この組織では IT サービスにマネージドサービスプロバイダーを利用していたため、ビデオ通話を受けた従業員が疑問を抱くことはありませんでした。

この通話の中で、攻撃者は従業員に対し、Teams を介したリモート画面制御セッションを許可するよう指示しました。このリモートコントロールセッションを通じて、攻撃者はコマンドシェルを開き、ファイルをドロップしてマルウェアを実行し、外部の SharePoint ファイルストアから展開しました。このファイルには Java アーカイブ (JAR) ファイルと、Python コードやその他のコンポーネントを含む .zip アーカイブが含まれていました。

第 1 段階の実行

この攻撃者は、リモートセッション中に開かれたコマンドシェルから正規の javaw.exe (コンソール出力なしで Java コードを解釈・実行する Java「ヘッドレス」ランタイム) のコピーを使って JAR ファイルを実行しました。

プロセス コマンドライン 結果 / MITRE ATT&CK TTP
cmd.exe “C:\Windows\system32\cmd.exe”
► javaw.exe C:\Users\Public\Documents\MailQueue-Handler\jdk-23.0.1\bin\javaw.exe -jar C:\Users\Public\Documents\MailQueue-Handler\MailQueue-Handler.jar TA0011: コマンドアンドコントロール – T1090: プロキシ

攻撃者は MailQueue-Handler.jar の Java ベースのプロキシを経由し、Windows Management Instrumentation コマンドラインユーティリティ (WMIC.exe) を使用して javaw.exe のプロセス ID を特定しました。 その後、アクティブなコンソールウィンドウのコードページを「65001」に変更し、多言語入力および出力サポートのための UTF-8 エンコーディングを許可しました。エンコードされたコマンドを実行させ、AMSI の検出を回避するために、PowerShell 実行ポリシーのバイパスとともに使用された可能性が高いと考えられます。

プロセス コマンドライン 結果 / MITRE ATT&CK TTP
►► WMIC.exe wmic process where “name=’java.exe’” Java ランタイム実行中プロセスの ID を返す
►► WMIC.exe wmic process where “name=’javaw.exe’” ヘッドレス Java ランタイム実行中プロセスの ID を返す
►► cmd.exe cmd.exe /c chcp 65001 > NUL & powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile -Command – TA0002: 実行 – T1059.001: PowerShell
►►► chcp.com chcp 65001 UTF-8 エンコーディング
►►► powershell.exe powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile -Command –

Javaコードは次に、7zip アーカイブおよび 7zip アーカイブユーティリティをダウンロードする一連の PowerShell コマンドを実行しました。このユーティリティは、ProtonVPN 実行ファイルと、Proton 実行ファイルによってサイドロードされた悪意のある DLL (nethost.dll) を抽出するために使用されました。

プロセス コマンドライン MITRE ATT&CK TTP
►►► powershell.exe powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile -Command – 7zip アーカイブである na.7z をダウンロード
►►► powershell.exe powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile -Command – 7zip ユーティリティのダイナミックリンクライブラリである 7za.dll をダウンロード
►►► powershell.exe powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile -Command – 7zip ユーティリティ実行ファイルである 7za.exe をダウンロード

探索

攻撃者は次に、whoami.exe を使って標的のユーザー名を取得し、net user コマンドを使ってそのユーザーがアクセスできるネットワークリソースを発見しました。

プロセス コマンドライン MITRE ATT&CK TTP
►►►► whoami.exe “C:\Windows\system32\whoami.exe”
►►►► net.exe “C:\Windows\system32\net.exe” user [username] /domain TA0002: 実行 – T1059.001: PowerShell
TA0007: 探索 – T1049: システムネットワーク接続の検出
►►►►► net1.exe C:\Windows\system32\net1 user [username] /domain

サイドロード / コマンドアンドコントロール

その後、Java コードは ProtonVPN 実行ファイルを起動し、nethost.dll をサイドロードします。サイドロードされた DLL は、ロシア、オランダ、米国でホストされている仮想プライベートサーバーに接続するセッションを作成します。この活動が、ソフォスのエンドポイント保護による署名のない DLL のサイドロードの検出をトリガーしました。

プロセス コマンドライン 結果 / MITRE ATT&CK TTP
►►►► ProtonVPN.exe “C:\users\public\downloads\ProtonVPN.exe” 207.90.238[.]99 に接続

 

TA0002: 実行 – T1059.001: PowerShell
TA0011: コマンドアンドコントロール – T1071.001: Web プロトコル
TA0011: コマンドアンドコントロール – T1105: 標的へのツールの持ち込み

►►►► ProtonVPN.exe “C:\users\public\downloads\ProtonVPN.exe” 206.206.123.75 に接続

 

TA0002: 実行 – T1059.001: PowerShell
TA0011: コマンドアンドコントロール – T1071.001: Web プロトコル
TA0011: コマンドアンドコントロール – T1105: 標的へのツールの持ち込み

►►►► ProtonVPN.exe “C:\users\public\downloads\ProtonVPN.exe” 109.107.170[.]2 に接続

 

TA0002: 実行 – T1059.001: PowerShell
TA0011: コマンドアンドコントロール – T1071.001: Web プロトコル
TA0011: コマンドアンドコントロール – T1105: 標的へのツールの持ち込み

►►►► ProtonVPN.exe “C:\users\public\downloads\ProtonVPN.exe” 195.133.1[.]117 に接続

 

TA0002: 実行 – T1059.001: PowerShell
TA0011: コマンドアンドコントロール – T1071.001: Web プロトコル
TA0011: コマンドアンドコントロール – T1105: 標的へのツールの持ち込み

JAR のコードは別の cmd.exe セッションを開いて再び UTF-8 に設定し、2 番目の Java .jar ファイル (identity.jar) を javaw.exe で実行し、 標的ユーザーのユーザー名と Active Directory ドメインを第 2 段階の Java コードにパラメータとして渡します。

プロセス コマンドライン 結果 / MITRE ATT&CK TTP
►► cmd.exe cmd.exe /c chcp 65001 > NUL & powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile -Command –
►►► chcp.com chcp 65001
►►► powershell.exe powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile -Command –
►►►► whoami.exe “C:\Windows\system32\whoami.exe”
►►►► whoami.exe “C:\Windows\system32\whoami.exe”
►►►► javaw.exe “C:\Users\Public\Documents\MailQueue-Handler\jdk-23.0.1\bin\javaw.exe” -jar C:\Users\Public\Documents\MailQueue-Handler\identity.jar [domain]\[username]

1 時間後、tar.exe アーカイブユーティリティが第 2 段階のJavaペイロードによって使用され、ドロップされたファイル winter.zip からファイルが C:\ProgramData\ に展開されました。このファイルが展開された Python マルウェアのペイロードです。さらに、一連のコマンドが実行されてローカルユーザーとネットワークの検出が行われ、ネットワークドメインサーバーの名前と IP アドレスが取得されました。

プロセス コマンドライン 結果 / MITRE ATT&CK TTP
►►►► tar.exe “C:\Windows\system32\tar.exe” -xf C:\ProgramData\winter.zip -C :\ProgramData\ Python ペイロードとサポートファイルの抽出
►►►► net.exe “C:\Windows\system32\net.exe” time
►►►►► net1.exe C:\Windows\system32\net1 time 標的デバイスの日付と時刻を表示
►►►► nltest.exe “C:\Windows\system32\nltest.exe” /dclist:[domain].local ドメインコントローラーのリストを返す

 

TA0007: 探索 – T1018: リモートシステムの探索
TA0007: 探索 – T1482: ドメインの信頼関係を探索

►►►► nltest.exe “C:\Windows\system32\nltest.exe” /dclist:[domain].local TA0007: 探索 – T1018: リモートシステムの探索
TA0007: 探索 – T1482: ドメインの信頼関係を探索
►►►► PING.EXE “C:\Windows\system32\PING.EXE” [domain controller hostname].[domain].local ドメインコントローラーの IP アドレスを取得

 

TA0007: 探索 – T1018: リモートシステムの探索

►►►► PING.EXE “C:\Windows\system32\PING.EXE” [domain controller hostname].[domain].local 2 つ目のドメインコントローラーの IP アドレスを取得

TA0007: 探索 – T1018: リモートシステムの探索

►►►► ipconfig.exe “C:\Windows\system32\ipconfig.exe” /all ローカルのネットワーク構成情報を取得

 

TA0007: 探索 – T1018: リモートシステムの探索

最後に、Java の第2段階のコードは、debug.exe という名前に変更された、ドロップされたファイルに含まれる Python インタプリタを使用して悪意のある Python ペイロードを実行しました。起動された Python スクリプトは、一連のバックドアでした。

プロセス コマンドライン 結果 / MITRE ATT&CK TTP
►►►► debug.exe “C:\ProgramData\winter\debug.exe” C:\ProgramData\winter\45_237_80.py TA0002: 実行 – sT1059.001: PowerShell
TA0011: コマンドアンドコントロール – T1071.001: Web プロトコル
TA0011: コマンドアンドコントロール – T1105: 標的へのツールの持ち込み

マルウェアの分析

A screenshot of Python code from an obfuscated copy of RPivot dropped by the STAC5143 attackers.
図 1: STAC5143 攻撃者が配信した winter.zip アーカイブ内の難読化された RPivot コピーの Python コードのスクリーンショット。

winter.zip ペイロードの Python コードは、スクリプトの残りの部分を難読化するために lambda 関数 (コードと一緒に使用される、無名かつ使い捨ての短い関数) を使用していました。難読化用の lambda 関数は、FIN7 関連の Python マルウェアローダーで以前に確認されたものと一致していました。

2 つの Python コンポーネント (166_65.py と 45_237_80.py) は、RPivot と呼ばれる、一般に公開されているリバース SOCKS プロキシのコピーでした。Rpivot は侵入テスターが使用する正規のツールとして設計されています。これらの Python スクリプトは、リモートのためにそれぞれ異なる IP アドレスを使用しています。これらのバックドアは、80 番ポート経由でリモート接続からコマンドを受け取ります。 別のスクリプト (37_44.py) は、Tor リレーに接続するために使用される Rpivot スクリプトでした。

攻撃の帰属 (アトリビューション)

ソフォスは、この攻撃で使用された Python マルウェアは、FIN7/Sangria Tempest を用いる攻撃者と関連していると推定しています。難読化手法がこれらのマルウェアと同じである他、FIN7 は攻撃に RPivot ツールを使用することも知られています。しかし、使用されている難読化手法は一般に入手可能なコードに基づいています。また、RPivot も一般に入手可能であり、FIN7 は以前にも自らのツールを他のサイバー犯罪者に販売していることに注意してください。

STAC5777

STAC5143 の場合と同様に、標的となった組織の個人数名が大量のスパムメールを送り付けられ、その後、社内の IT チームを名乗る人物から、 Microsoft Teams のメッセージを受信しました。

スパムメッセージの送信元である攻撃者からの Teams メッセージは、スパムの問題を解決するために Teams での通話を要求していました。しかし、確認されている STAC5143 のインシデントとは異なり、STAC5777 のアクティビティは、STAC5143 よりもはるかに「手動」アクションおよび攻撃者が直接起動するスクリプトコマンドに依存していました。

初期アクセス

Sophos MDR が記録したインシデントのいずれにおいても、攻撃者は Teams の通話を介して、Microsoft Quick Assist をインストールするプロセスをユーザーに説明しました。この手順を通じてリモートセッションが確立され、攻撃者は標的となった個人のデバイスを制御できるようになりました。

あるお客様の環境では、Sophos Office 365 の統合が設定されていました。そのため、MDR は IP アドレス 78.46.67[.]201 の Office365 アカウント「helpdesk@llladminhlpll.onmicrosoft.com」を使用してメッセージが送信されていることを確認しました。

Figure 2:Sophos Central investigation screen of threat actor’s incoming activity captured by Microsoft Office 365 integration
図 2: Microsoft Office 365 との統合により取得された攻撃者の受信アクティビティに関する Sophos Central の調査画面

攻撃者は、Microsoft のリモートアクセスツール「Quick Assist」のインストールと実行をユーザーに指示しました。ユーザーは、Web 上でこのアプリケーションを検索し、正規の Microsoft の Web サイトからダウンロードし、起動するよう指示を受けました。さらに、デバイスを遠隔操作するためのアクセスを攻撃者に許可するよう誘導されました。

図 3: 外部の M365 テナントをコントロールする攻撃者によって開始された Microsoft Teams のアクティビティ

デバイスの制御を確保した攻撃者は、Web ブラウザを利用して悪意のあるペイロードをダウンロードしました。ある事例では、ペイロードは攻撃者がコントロールするホストから直接ダウンロードされました。他の事例では、kb641812-filter-pack-2024-1.dat と kb641812-filter-pack-2024-2.dat の 2 つのペイロードに分割されていました。これらは、blob.core.windows[.]net (Microsoft Azure ファイルストレージサービスに関連するホスト) のサブドメインです。次に、2 つの .dat ファイルを pack.zip という名前のアーカイブに結合し、tar.exe アーカイブユーティリティを使用して解凍しました。

この結果、ユーザーの AppData ディレクトリに OneDriveUpdateupd2836a.bkt という別のアーカイブファイルが作成されました。その後、攻撃者はそのファイルを解凍し、同じ \OneDriveUpdate フォルダに以下のファイルを書き込みました。

  • 正規の Microsoft 署名入り実行ファイル OneDriveStandaloneUpdater.exe
  • OpenSSL ツールキットの符号なし DLL (libcrypto-3-x64.dll および libssl-3-x64.dll) 。OneDriveStandaloneUpdater 実行ファイルによってロードされます。
  • OneDriveStandaloneUpdater.exe で必要とされる Microsoft のライブラリである vcruntime140.dll の署名された正規のコピー
  • 不明な winhttp.dll DLL
  • Settingsbackup.dat と名付けられたファイル

SophosLabs は winhttp.dll を分析し、悪意のあるものであることを確認しました。winhttp.dll は、正規の ESET ファイルから偽のバージョンメタデータを取得し、DLL 検索順序の乗っ取りにより、正規の実行ファイルによってメモリにサイドロードされるように名前が変更されていました。この DLL は、以下の情報を収集するものでした。

  • システムおよび OS の詳細
  • 構成情報
  • ユーザー認証情報
  • Windows API 関数 GetKeyboardState、GetKeyState、get_KeySize をキー入力する

SophosLabs では、「settingsbackup.dat」というファイルの正確な機能を特定することはできませんでしたが、サイドロード DLL を実行するプロセスによって読み取られ、第 2 段階のローダーとして使用される暗号化されたペイロードだと考えられます。

ファイルが影響を受けたホストに配置された後、Sophos MDR は攻撃者がコマンドプロンプトを開き、reg.exe ユーティリティを使って以下のように Windows のレジストリを変更するのを確認しました。

reg add "HKLM\SOFTWARE\TitanPlus" /v 1 /t REG_SZ /d "185.190.251.16:443;207.90.238.52:443;89.185.80.86:443" /f

レジストリのキーエントリは、悪意のある winhttp.dll コードによって行われたコマンドアンドコントロール接続に使用された IP アドレスを提供しました。

常駐化

攻撃者は、Quick Assist 接続を介してコマンドシェルから手動で他の設定を変更し、正規の「OneDriveStandaloneUpdater.exe」バイナリを最初に実行した後、PowerShell コマンドを実行して、侵害された実行ファイルを自動的に実行するサービスを作成しました。PowerShell コマンドはさらに、デバイスのスタートアップアイテムフォルダ内に実行ファイルの .lnk ファイルを作成し、再起動後も持続するように設定しました。

攻撃の実行

onedrivestandaloneupdate.exe は実行されると、バックドアを搭載したローダーである winhttp.dll をサイドロードしました。このローダーは、攻撃者が入力した構成情報 (settingsbackup.dat という名前のファイルを含みます) を読み取り、攻撃者が手動でシステムの設定に追加した複数の IP アドレスにアクセスします。

Quick Access の初期活動

 

親プロセス コマンドライン
C:\Windows\System32\RuntimeBroker.exe-Embedding C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe” -single-argument microsoft-edge:?url=https%3A%2F%2Fwww.bing.com%2Fsearch%3Fq%3DQuick%2BAssist%26filte
C:\windows|system32\svchost.exe-k netsvcs-p-s Appinfo C.\Program Files|WindowsApps\MicrosoftCorporationll.QuickAssist_2.0.32.0_x64_8wekyb3d8bbwe\Microsoft.RemoteAssistance.QuickAssist\QuickAssist.exe
C: \windows\Explorer.EXE C:\Windows\System32\cmd.exe
C:\Windows\System32\cmd.exe tar xf pack.zip -C “C:\Users\<username>\AppData\Local\OneDriveUpdate
C:\Windows\System32\cmd.exe C:\Users\<username>\AppData\Local\OneDriveUpdate\OneDriveStandaloneUpdater.exe -Embedding

 

コマンドアンドコントロール

OneDriveStandaloneUpdate プロセスは、署名されていない OpenSSL ツールキットドライバーを使用して一連のリモートホストに暗号化されたコマンドアンドコントロール接続を行いました。ホストの IP アドレスには、ロシアを拠点とする攻撃者が過去に使用していたホスティング会社が運営する仮想プライベートサーバーが含まれていました。

C2 IP アドレスに接続する OneDriveStandaloneUpdater.exe の初期実行
プロセス アクション 対象/td>
cmd.exe 攻撃の開始/td>

C:\Users\<username>\AppData\Local\OneDriveUpdate\OneDriveStandaloneUpdater.exe
OneDriveStandaloneUpdater.exe バイナリファイル読み込み C:\Users\<username>\AppData\Local\OneDriveUpdate\winhttp.dll
画像をメモリにロード C:\Users\<username>\AppData\Local\OneDriveUpdate\winhttp.dll
ファイル読み込み C:\Users\<username>\AppData \Local\OneDriveUpdate\settingsbackup.dat
IP の接続先: 74.178.90[.]36:443
IP の接続先: 195.123.241[.]24:443

探索

C2 チャネルが確立された後、OneDriveStandaloneUpdater.exe プロセスが SMB プロトコルでスキャンを行い、お客様環境内のオンラインホストをマッピングしていることを Sophos MDR チームは確認しました。 この攻撃者はさらに、標的ユーザーの認証情報を使用してネットワーク内に接続できるリモートデスクトッププロトコルと Windows リモート管理 (WinRM) のホストもスキャンしました。

ラテラルムーブメント

攻撃者は、標的となったユーザーの認証情報を使用して、最初に侵害されたシステム以外にもアクセスの拡大を試み、他のホストに移動するために昇格できるドメインアクセスを探索しました。ある組織では、標的となった個人のドメイン認証情報を使用してネットワーク外から組織の VPN に接続し、ネットワーク内の RDP ホストにログインしていました。別の組織では、Windows リモート管理 (WinRM) を使ってラテラルムーブメントを実行しました。

防御回避

あるインシデントでは、Sophos MDR は攻撃者がバックドアを使用して標的デバイスのローカル多要素認証統合をアンインストールするのを確認しました。また、別の事例では、攻撃者が Sophos Endpoint Agent をアンインストールしようとして失敗したのも確認しました。ソフォスの改ざん防止機能によるものです。

認証情報の収集とデータ窃取

また、Sophos MDR は、この攻撃者が notepad.exe と Word を介して、ファイル名に「password」という単語が含まれるファイルにローカルでアクセスすることも確認しています。

ある事例では、攻撃者は mstsc.exe ユーティリティを使用して 2 つのリモートデスクトッププロトコル (.rdp) ファイルにアクセスし、その設定データを閲覧・編集して、潜在的な認証情報の保存場所を探していました。

Sophos MDR はさらに、Visio で描かれた標的組織のネットワーク図に攻撃者がアクセスする様子も観察しています。攻撃のさらなるラテラルムーブメントと「影響」段階の活動を計画するためと考えられます。

影響

Sophos MDR の全お客様を対象とした脅威ハンティングで見つかったある事例では、攻撃者は Black Basta ランサムウェアを実行しようとしました。この活動は、ソフォスのエンドポイント保護によってブロックされました。

結論

ソフォスは、これらのキャンペーンで使用された以下のマルウェアを検出しました。

  • STAC5143: ATK/RPivot-B、Python/Kryptic.IV、OS ライブラリの Python 悪意のある使用のヒューリスティック検出
  • STAC5777: STAC5777 の winhttp.dll 用の Troj/Loader-DV

しかし、組織は、これらの戦術に基づいた攻撃を防ぐために、さらなる対策を講じる必要があります。まず、絶対に必要な場合を除き、O365 サービスの設定で外部組織からのチームコールを制限するか、その機能を信頼できるビジネスパートナーに限定するようにします。さらに、Quick Assist などのリモートアクセスアプリケーションは、組織の技術サポートチームが特に使用する場合を除き、ポリシーによって制限する必要があります。ソフォスは、エンドポイント保護のアプリケーションコントロール設定により、Quick Assist の不要な実行をブロックできます。

ソフォスは、潜在的に悪意のある Teams または Outlook の受信トラフィックのソースを監視するために、Microsoft Office 365 をセキュリティ環境に統合することを強く推奨します。

また、組織はこのような戦術に対する従業員の意識を高める必要があります。通常のフィッシング対策研修だけでは不十分です。従業員は、実際の技術サポートチームが誰であるかを認識し、この種のソーシャルエンジニアリングを駆使した攻撃で用いられる、危機感を煽るような手口に注意すべきです。

これらの攻撃キャンペーンに関するセキュリティ侵害の痕跡の一覧は、ソフォスの GitHub リポジトリで公開されています