ここ数日、米国の主要な燃料パイプラインのITネットワークをハッキングし米国の国家安全保障当局を慌てさせたロシアのランサムウェア集団のニュースで持ちきりです。
5,000万人に影響:米国最大の燃料パイプラインがランサムウェア攻撃を受け操業停止
一方、新たな脅威やサイバーセキュリティ関連のニュースが次々と発表されています。
マイクロソフトは、脅威の1つであるRevengeRATと呼ばれるリモートアクセスツールについて航空宇宙や旅行業界をターゲットにしたスピアフィッシングメールによる攻撃が行われていると注意を促しています。この攻撃は受信者が本物と勘違いして添付されたAdobe PDFファイルを開くと、悪意のあるファイルがダウンロードされるようになっています。
この数ヶ月間、マイクロソフト社は、航空宇宙および旅行業界をターゲットにした大規模な攻撃を追跡してきました。この攻撃では開発されたローダーを配布するスピアフィッシングメールが使用されており、このローダーによってRevengeRATまたはAsyncRATが配信されます。
マイクロソフトは、攻撃者がこの種のリモートアクセス型トロイの木馬を使用して、データの窃盗から追跡活動、データ流出に使用される追加の攻撃までを行っていると説明しています。
マイクロソフトはツイートで、「この攻撃では、航空・旅行・荷物に関連したメール分で正しい企業になりすましたメールを使用しています」と説明しており「PDFファイルには悪意のあるVBScriptをダウンロードする埋め込みリンクが含まれており、これがRATをダウンロードして端末に感染します」と述べています。
この種のトロイの木馬は、ユーザーのログイン認証情報やウェブカメラの画像などのコンテンツやシステムのクリップボードにコピーされたものを盗聴したりします
今回の攻撃の中心となっている悪意のある実行ファイルは、Snip3と呼ばれるローダーです。
セキュリティ企業のMorphisec社はSnip3のもう1つの特徴として、「スクリプトがMicrosoft Sandbox、VMWare、VirtualBox、Sandboxのいずれかの環境下で実行された場合、トロイの木馬をロードせずにスクリプトが終了することが分かっています。」と指摘しています。
航空会社を標的とした新たなマルウェアが登場:アンチウィルスの検知機能を回避する能力が高いRATローダー
この攻撃に使用されるメールを使用した攻撃方法は、ハッカーの間で非常に人気があり、その理由の1つは本物のように装われた怪しげな電子メールからファイルをクリックさせることが非常に簡単で組織や企業内の少なくとも1人をだますことが可能だからです。
この攻撃では、DarkSideランサムウェアグループがパイプライン会社のITネットワークから約100GBのファイルを盗み出し、約500万ドルの身代金を支払うまでネットワークをロックしました。
Comments