BazaCall キャンペーン (疑うことを知らないユーザーをだまして BazaLoader マルウェアをダウンロードさせる詐欺的なコール センターを使用するキャンペーン) に対する継続的な調査では、この脅威が、他のセキュリティ ブログで公に議論され、メディアで取り上げられているものよりも危険であることが示されています。これらのキャンペーンの BazaLoader ペイロードは、バックドア機能を備えているだけでなく、影響を受けたユーザーのデバイスをリモートの攻撃者が直接キーボードで制御できるようにすることで、迅速なネットワーク侵害を可能にします。私たちの観察では、BazaCall の脅威から発せられる攻撃は、ネットワーク内で迅速に移動し、大規模なデータの引き出しと資格情報の盗難を実行し、最初の侵害から 48 時間以内にランサムウェアを配布する可能性があります。
| その他のリソース
組織をランサムウェアから保護する: aka.ms/ransomware |
BazaCall キャンペーンは、電子メール メッセージ内の悪意のあるリンクや添付ファイルを無視し、受信者が誤解して電話をかける電話番号を優先します。これは、標的となるユーザーが番号をダイヤルする必要がある BazaCall の場合を除いて、潜在的な被害者が攻撃者によってコールドコールされるビッシング詐欺やテクニカル サポート詐欺を連想させる手法です。その際、ユーザーは電話の向こう側にいる実際の人間とつながり、デバイスにマルウェアをインストールするための段階的な手順を提供します。したがって、BazaCall キャンペーンを成功させるには、人的およびソーシャル エンジニアリング戦術による直接の電話コミュニケーションが必要です。さらに、配信方法に明らかな悪意のある要素がないため、スパムやフィッシング メールを検出する一般的な方法が無効になる可能性があります。
図 1. スパム メールからソーシャル エンジニアリング、ペイロードのダウンロード、ハンズオン キーボード攻撃まで、典型的な BazaCall 攻撃の流れ
前述のハンズオン キーボードによる BazaCall の攻撃チェーンで別の人間要素を使用すると、この脅威は従来の自動化されたマルウェア攻撃よりもさらに危険で回避しやすくなります。 BazaCall キャンペーンは、複雑な脅威に対する包括的な防御を構築する上で、クロスドメイン オプティクスとイベントを関連付ける機能の重要性を強調しています。
Microsoft 365 Defenderは、ドメイン全体で保護を調整して、調整された防御を提供します。 BazaCall の場合、 Microsoft Defender for Endpointは、キャンペーンに起因するマルウェアと攻撃者の動作を検出し、これらのシグナルは、これらの電子メールに典型的な悪意のあるアーティファクトがない場合でも、関連する電子メールに対するOffice 365 の保護を Microsoft Defender に通知します。 BazaCall キャンペーンを常に監視しているマイクロソフトの脅威アナリストは、この脅威に関する情報を充実させ、お客様を保護する当社の能力を強化しています。
このブログ投稿では、最近の BazaCall キャンペーンが前述の人的要素を介してシステムとネットワークを侵害しようとする方法と、Microsoft がそれを防御する方法について説明します。
リンクと添付ファイルを外して、カスタマー サービスの電話番号を入力します
BazaCall キャンペーンは、さまざまなソーシャル エンジニアリングのルアーを使用して標的の受信者をだまして電話番号に電話させる電子メールから始まります。たとえば、この電子メールは、試用サブスクリプションの有効期限が切れると思われること、およびサブスクリプションのプレミアム バージョンの料金がまもなくクレジット カードに自動的に請求されることをユーザーに通知します。キャンペーンの電子メールの各波は、写真編集サービスや料理とレシピの Web サイト メンバーシップなど、期限が切れるはずのサブスクリプションの異なる「テーマ」を使用しています。最近のキャンペーンでは、電子メールはサブスクリプションの試用版を削除し、代わりに購入したソフトウェア ライセンスの確認の領収書を装っています。
典型的なスパムやフィッシング メールとは異なり、BazaCall のメッセージ本文には、ユーザーがクリックまたは開く必要のあるリンクや添付ファイルがありません。代わりに、質問や懸念がある場合に備えて電話番号に電話するようにユーザーに指示します。典型的な悪意のある要素 (リンクや添付ファイル) がないため、これらの電子メールの検出と追跡がさらに困難になります。さらに、ユーザーが典型的なフィッシングやマルウェアの電子メールを避けるように厳密に訓練されていても、ソーシャル エンジニアリング手法に注意するように教えられていない場合、電子メールの内容のメッセージは正当性の雰囲気を追加する可能性があります。
図 2. BazaCall の典型的な電子メール。ユーザーの写真編集サービスの試用期間が間もなく終了し、自動的に請求されると主張しています。サブスクリプションをキャンセルするために、偽のカスタマー サービス番号が提供されます。
各 BazaCall 電子メールは、通常、無料の電子メール サービスと侵害された可能性のある電子メール アドレスを使用して、異なる送信者から送信されます。電子メール内のルアーは、実際の企業名に似た偽の企業名を使用しています。電子メールの正当性を確認するためにオンラインで会社名を検索した受信者は、そのような会社が存在し、受信したメッセージに価値があると信じるように導かれる可能性があります。
サンプルの件名を以下に示します。それぞれに、受信者を識別するために攻撃者が作成した一意の「アカウント番号」があります。
- デモ期間が終了するため、すぐにプレミアム メンバーシップに移行します。個人ID:KT[固有ID番号]
- 自動プレミアム会員更新通知 GW[固有ID番号] ?
- デモ ステージはもうすぐ終了します。あなたのユーザーアカウント番号 VC[固有の ID 番号]。続行しますか?
- 放置交通事故現場のお知らせ!マネージャーを捕まえる必要があります! [メール本文には固有の ID 番号が含まれています]
- BooyaFitness のメンバーになることを決めてくれてありがとう。フィットネス プログラムはかつてないほどシンプルになりました [メールの本文には一意の ID 番号が含まれています]
- 試用期間が終了すると、サブスクリプションはゴールド メンバーシップに変更されます。注文:KT[固有ID番号]
- 無料期間がもうすぐ終わります。あなたの会員の口座番号VC[固有のID番号]。前進する準備はできましたか?
- WinRAR pro プランをご利用いただきありがとうございます。ご注文番号はWR[固有ID番号]です。
- WinRAR をお選びいただき、誠にありがとうございます。ライセンスに関する情報を確認する必要があります [メールの本文には一意の ID 番号が含まれています]
観察されたほとんどのキャンペーンの件名には、類似したキーワードと時折の絵文字が含まれていますが、受信者に固有の英数字シーケンスが含まれているため、それぞれが一意です。このシーケンスは常にユーザー ID またはトランザクション コードとして提示されますが、実際には攻撃者が受信者を特定し、キャンペーンに対する受信者の応答を追跡する方法として機能します。一意の ID 番号はほぼ同じパターンに従います。正規表現[AZ]{1,3}(?:d{9,15})で表示できます。たとえば、 L0123456789とKT01234567891 です。
最近の BazaCall キャンペーンの 1 つでは、一意の ID が電子メールの本文に表示されていましたが、件名には表示されていませんでした。
図 3. 一意の ID がメッセージ本文のみに含まれる最近の BazaCall 電子メール。
ターゲットの受信者が電子メールに示されている電話番号に電話することを決定した場合、彼らは BazaCall のオペレーターによって設定された詐欺的なコール センターからの実際の人物と話します。コール センターのエージェントは、攻撃の次のフェーズへのパイプ役を果たします。エージェントは、会話中に発信者に、想定されているサブスクリプションまたはトランザクションをキャンセルできることを伝えます。そのために、エージェントは発信者に Web サイトにアクセスするように依頼します。
これらの Web サイトは合法的な企業に見えるように設計されており、中には実際の企業になりすましているものもあります。ただし、一部のドメイン名は、電子メールに記載されている架空の会社の名前と必ずしも一致しない場合があることに注意してください。たとえば、「Pre Pear Cooking」のユーザーの無料試用版が期限切れになるように設定されていると主張する電子メールは、ドメイン「topcooks[.]us」とペアになっていました。
図 4. BazaCall キャンペーンで使用されたサンプル Web サイト。実際のレシピ Web サイトを模倣していますが、攻撃者によって制御されています。
次に、コール センターのエージェントは、アカウント ページに移動してファイルをダウンロードし、サブスクリプションをキャンセルするようにユーザーに指示します。ファイルは、「cancel_sub_[一意の ID 番号].xlsb」などの名前を持つ、マクロを有効にした Excel ドキュメントです。場合によっては、 Microsoft Defender SmartScreenなどのセキュリティ フィルターが有効になっている場合でも、ユーザーが意図的にそれをバイパスしてファイルをダウンロードすることが観察されました。そうしないと、クレジットカードに請求されます。繰り返しになりますが、これは BazaCall 攻撃で使用されるソーシャル エンジニアリング戦術の有効性を示しています。
ダウンロードした Excel ファイルには、Microsoft Office によって保護されているという偽の通知が表示されます。次に、コール センター エージェントは、スプレッドシートのコンテンツを表示するための編集およびコンテンツ (マクロ) を有効にするボタンをクリックするようにユーザーに指示します。ユーザーがマクロを有効にすると、BazaLoader マルウェアがデバイスに配信されます。
図 5. 攻撃者が使用する Excel ドキュメント。悪意のあるコードを有効にするようユーザーに促します。
選択的なデータ抽出のためのハンズオン キーボード コントロール
Excel ドキュメントで有効になっているマクロは、 %programdata%フォルダー内にランダムな文字列で名前が付けられた新しいフォルダーを作成します。次に、既知の Living Off The Land バイナリ (LOLBin) であるcertutil.exeをSystemフォルダからコピーし、 certutil.exeのコピーを新しく作成されたフォルダに配置して、防御を回避します。最後に、 certutil.exeのコピーの名前が、フォルダー名のランダムな文字列と一致するように変更されます。
次にマクロは、新しく名前が変更されたcertutil.exeのコピーを使用して、攻撃者のインフラストラクチャに接続し、BazaLoader をダウンロードします。このダウンロードされたペイロードは、悪意のあるダイナミック リンク ライブラリ ( .dll ) であり、 rundll32.exeによってロードされます。次にRundll32は、正当なMsEdge.exeプロセスを挿入して BazaLoader コマンド アンド コントロール (C2) に接続し、Edge を使用して永続性を確立して、 Startupフォルダー内のペイロードへの.lnk (ショートカット) ファイルを作成します。挿入されたMsEdge.exeは、偵察にも使用され、システムとユーザーの情報、ネットワーク上のドメイン、およびドメインの信頼を収集します。
rundll32.exeプロセスは Cobalt Strike ビーコンを取得します。これにより、攻撃者はデバイスをキーボードで直接制御できます。現在、攻撃者は直接アクセスを使用して、ネットワーク上で偵察を行い、ローカル管理者と高権限のドメイン管理者のアカウント情報を検索します。
攻撃者は、Active Directory の検出用に設計された無料のコマンドライン ツールであるADFindを使用して、さらに広範な偵察を行います。多くの場合、この偵察で収集された情報はテキスト ファイルに保存され、攻撃者はコマンド プロンプトで「Type」コマンドを使用して表示します。
攻撃者は、ネットワーク上にターゲット デバイスのリストを確立すると、Cobalt Strike のカスタム組み込みPsExec機能を使用してターゲットに横方向に移動します。攻撃者が到達した各デバイスは、Cobalt Strike C2 サーバーへの接続を確立します。さらに、特定のデバイスは、ブラウザーのパスワードを盗むように設計されたオープンソース ツールをダウンロードすることにより、追加の偵察に使用されます。場合によっては、攻撃者はWMICを使用して、ドメイン コントローラなどの価値の高い標的に横方向に移動することもありました。
攻撃者は、選択した価値の高いターゲットに到達すると、7-Zip を使用して知的財産をアーカイブし、盗み出します。アーカイブされたファイルには、IT 情報、セキュリティ オペレーション、財務と予算に関する情報、各ターゲットの業界固有の詳細など、含まれるデータの種類に基づいて名前が付けられます。次に、攻撃者はオープンソース ツールの名前を変更したバージョンのRClone を使用して、これらのアーカイブを攻撃者が制御するドメインに流出させます。
図 6 流出やランサムウェアを含む、標的に対する侵害後の活動。
最後に、ドメイン コントローラ デバイスで、攻撃者はNTDSUtil.exe (Active Directory データベースの作成と維持に通常使用される正当なツール) を使用して、 NTDS.dit Active Directory データベースのコピーを%programdata%または%tempに作成します。 %フォルダー、その後の抽出用。 NTDS.dit には、ドメイン内のすべてのユーザーのユーザー情報とパスワード ハッシュが含まれています。
場合によっては、データの流出が攻撃の主な目的であるように見えましたが、これは通常、将来の活動に備えるためのものです。ただし、他の例では、攻撃者は前述のアクティビティを実行した後にランサムウェアを展開します。ランサムウェアが投下されたケースでは、攻撃者は、Cobalt Strike の PsExec 機能と組み合わせて高権限の侵害されたアカウントを使用して、Ryuk または Conti ランサムウェア ペイロードをネットワーク デバイスに投下しました。
クロスドメインの可視性と脅威インテリジェンスによる BazaCall の検出
多くのサイバーセキュリティの脅威は、自動化されたドライブバイ戦術 (たとえば、システムの脆弱性を悪用してマルウェアを投下する、正当な Web サイトを侵害して水飲み場攻撃を行う) に依存したり、高度な検出回避方法を開発したりしていますが、攻撃者はソーシャル エンジニアリングや人間とのやり取りで成功を収め続けています。攻撃で。 BazaCall キャンペーンは、送信する電子メールのリンクと添付ファイルを電話番号に置き換え、特に従来のアンチスパムおよびアンチ フィッシング ソリューションによる悪意のある兆候をチェックすることで、検出に課題をもたらします。
BazaCall の電子メールに典型的な悪意のある要素が含まれていないこと、およびオペレーターが攻撃を実行できる速度が速いことは、組織が今日直面しているますます複雑で回避的な脅威を実証しています。 Microsoft 365 Defenderは、クロスドメインの可視性と調整された防御を提供して、このような脅威から顧客を保護します。 BazaCall の場合、その明確な特徴を考えると、エンドポイントと電子メール間でイベントを関連付ける機能は非常に重要です。 Microsoft Defender for Endpointは、BazaLoader や Cobalt Strike などのインプラント、Conti や Ryuk などのペイロード、およびその後の攻撃者の動作を検出します。これらのエンドポイント シグナルは電子メールの脅威データと関連付けられており、 Microsoft Defender for Office 365に BazaCall 電子メールをブロックするように通知します。これらの電子メールに典型的な悪意のあるアーティファクトがない場合でも同様です。
Microsoft 365 Defender を使用すると、高度なハンティングなどの豊富な調査ツールを使用して組織がこの脅威から防御できるようになり、セキュリティ チームは関連または類似のアクティビティを見つけてシームレスに解決できます。
ジャスティン・キャロルとエミリー・ハッカー
Microsoft 365 Defender 脅威インテリジェンス チーム
高度なハンティング クエリ
次の高度なハンティング クエリは、このブログの公開時点で正確です。最新のクエリについては、 aka.ms/BazaCallにアクセスしてください。
悪用の可能性があるアクティビティを特定するには、Microsoft 365 Defender ポータルで次のクエリを実行します。
BazaCall メール
BazaCall キャンペーンのパターンに一致する悪意のある電子メールを探すには、次のクエリを実行します。
EmailEvents
| where Subject matches regex @"[A-Z]{1,3}d{9,15}"
and Subject has_any('trial', 'free', 'demo', 'membership', 'premium', 'gold',
'notification', 'notice', 'claim', 'order', 'license', 'licenses')
BazaCall Excelファイル配信
BazaCall キャンペーンのパターンに一致する Web ファイル配信動作の兆候を探すには、次のクエリを実行します。
DeviceFileEvents
| where FileOriginUrl has "/cancel.php" and FileOriginReferrerUrl has "/account"
or FileOriginUrl has "/download.php" and FileOriginReferrerUrl has "/case"
BazaCall Excel ファイルの実行
BazaCall に関連する悪意のある Excel ファイルの実行を明らかにするには、次のクエリを実行します。
DeviceProcessEvents
| where InitiatingProcessFileName =~ "excel.exe"
and ProcessCommandLine has_all('mkdir', '&& copy', 'certutil.exe')
BazaCall Excel ファイル ダウンロード ドメイン パターン
.XYZドメインからダウンロードされた悪意のある Excel ファイルを探すには、次のクエリを実行します。
DeviceNetworkEvents
| where RemoteUrl matches regex @".{14}.xyz/config.php"
BazaCall が certutil を介してペイロードをドロップする
BazaLoader ペイロードのダウンロードに使用されたcertutil.exeのコピーを探すには、次のクエリを実行します。
DeviceFileEvents
| where InitiatingProcessFileName !~ "certutil.exe"
| where InitiatingProcessFileName !~ "cmd.exe"
| where InitiatingProcessCommandLine has_all("-urlcache", "split", "http")
NTDS の盗難
この脅威が使用するパスで Active Directory の盗難を探すには、 このクエリを実行します。
DeviceProcessEvents
| where FileName =~ "ntdsutil.exe"
| where ProcessCommandLine has_any("full", "fu")
| where ProcessCommandLine has_any ("temp", "perflogs", "programdata")
// Exclusion
| where ProcessCommandLine !contains @"Backup"
名前が Rclone データ抽出に変更されました
名前が変更された Rclone を使用したデータ流出を探すには、 このクエリを実行します。
DeviceProcessEvents
| where ProcessVersionInfoProductName has "rclone" and not(FileName has "rclone")
RunDLL 不審なネットワーク接続
疑わしいネットワーク接続を行っている RunDLL を探すには、 このクエリを実行します。
DeviceNetworkEvents
| where InitiatingProcessFileName =~ 'rundll32.exe' and InitiatingProcessCommandLine has ",GlobalOut"
Microsoft Defender 365 を使用して、自動化されたクロスドメイン セキュリティと組み込みの AI を通じて組織が攻撃を阻止する方法について説明します。
Comments