IKEA、電子メールシステムを乗っ取られるサイバー攻撃を受けていることが発覚

news

IKEAは、攻撃者が盗んだリプライチェーンメールを使った内部のフィッシング攻撃で従業員を狙うサイバー攻撃と戦っていることを発表しました。

リプライチェーンメール攻撃とは、攻撃者が企業の正規のメールを盗み、そのメールに悪意のある文書へのリンクを返信して、受信者のデバイスにマルウェアをインストールする攻撃です。

リプライチェーンメールは企業からの正規のメールであり、一般的には侵害されたメールアカウントや社内サーバーから送信されるため、受信者はメールを信用し、悪意のある文書を開いてしまう可能性が高くなります。

サイバー攻撃に対処するIKEA

社内メールによると、IKEAは社内のメールボックスを標的とした返信チェーン型のフィッシング・サイバー攻撃が続いていることを従業員に警告しています。

これらのメールは、危険にさらされた他のイケアの組織やビジネスパートナーからも送信されているようです。

イケアのメールボックスを標的としたサイバー攻撃が続いています。他のイケアの組織、サプライヤー、ビジネスパートナーも同じ攻撃を受けており、さらに悪意のあるメールをイケアの関係者に拡散しているようです。

つまり、この攻撃は一緒に仕事をしている人からのメールでも、外部の組織からのメールでも、また、すでに進行中の会話への返信としても来る可能性があるということです。そのため検知することが難しく、十分な注意が必要です

イケアのITチームは、返信用チェーンメールの末尾に7桁の数字を使ったリンクが含まれていることを従業員に警告し、以下のようなメールの例を紹介しています。さらに、従業員には、誰が送ったかにかかわらず、メールを開かないように、そして、すぐにIT部門に報告するようにと伝えています。

また、受信者には、Microsoft Teamsのチャットでメールの送信者に報告するように伝えています。

攻撃者はProxyShellおよびProxyLoginの脆弱性を利用して社内のMicrosoft Exchangeサーバを侵害し、フィッシング攻撃を行っているようです。

サーバーにアクセスできるようになると、内部のMicrosoft Exchangeサーバーを使用して、盗んだ企業メールを使って従業員に対してリプライチェーン攻撃を行います。

メールは社内の危険なサーバーや既存のメールチェーンから送信されているため、悪意のあるメールではないという信頼性が高くなります。

また、受信者が誤ってフィルターに引っかかったと思って、悪意のあるフィッシングメールを隔離から解放してしまうことも懸念されます。そのため、攻撃が解決するまで、従業員がメールを公開することを禁止しています。

当社のメールフィルターは、悪意のあるメールの一部を識別して隔離します。そのため、メールフィルターが間違えたと判断して、隔離されていたメールを解除してしまうことがあります。そのため、お知らせするまで全員がメールを隔離から解放することができないようにします

イケアは、この攻撃に関するメールへの返信を行っておらず、社内サーバーが侵害されたかどうかを従業員に公表していませんが、同様の攻撃を受けていると思われます。

EmotetまたはQbotトロイの木馬の拡散に使用された攻撃

フィッシングメールで共有されているURLから、IKEAを標的とした攻撃を特定することができました。

これらのURLにアクセスすると、ブラウザは悪意のあるExcel文書を含む「charts.zip」というダウンロードファイルにリダイレクトされます。この添付ファイルは、以下のように、受信者に「コンテンツを有効にする」または「編集を有効にする」ボタンをクリックして正しく表示するように指示しています。

これらのボタンがクリックされると、悪意のあるマクロが実行され、「besta.ocx」、「bestb.ocx」、「bestc.ocx」という名前のファイルをリモートサイトからダウンロードし、「C:\Datop」フォルダに保存します。

これらのOCXファイルはDLLに改名され、regsvr32.exeコマンドを用いて実行され、マルウェアのペイロードがインストールされます。

この手法を用いた攻撃では、Qbotトロイの木馬(別名:QakBotおよびQuakbot)のインストールが確認されており、VirusTotalに投稿した情報によると、Emotetの可能性もあります。

VirusTotal
VirusTotal

Qbotトロイの木馬とEmotetトロイの木馬は、いずれもネットワークをさらに侵害し、最終的には侵害されたネットワーク上にランサムウェアを展開することになります。

これらの感染の深刻さと、Microsoft Exchangeサーバが危険にさらされている可能性が高いことから、イケアは今回のセキュリティ事件を、はるかに破壊的な攻撃につながる可能性のある重大なサイバー攻撃として扱っています。

Comments

Copied title and URL