景気刺激策に基づくソーシャル エンジニアリングと COVID-19 の金銭的補償スキームは、今後数週間で拡大すると予想されます

Example lure using CAD news

米国下院で現在検討されている経済刺激法案をめぐるコミュニティの関心とメディアの報道を考えると、攻撃者は新しい景気刺激法案に合わせて調整されたルアーをますます活用し、景気刺激策の小切手、失業補償、中小企業などの関連する回復努力を行うと予想されます。ローン。これらの問題に関連するテーマを使用するキャンペーンは、攻撃者によって採用され始めたばかりですが、今後のキャンペーン (主に金銭目的の攻撃者によって実行されるもの) では、これらのトピックに関するメディアの報道に比例して、これらのテーマが組み込まれることが予想されます。

さまざまな動機を持つ攻撃者が、現在のパンデミックと、コロナウイルスと COVID-19 に対する世間の恐怖を積極的に悪用しています。これは私たちの予想と一致しています。悪意のあるアクターは通常、ソーシャル エンジニアリングのルアーをすばやく適応させて、主要な引火点やその他の定期的なイベント (祝日、オリンピックなど) を悪用します。 FireEye およびより広範なコミュニティのセキュリティ研究者は、助成金、支払い、または経済回復をテーマにした電子メールと添付ファイルを使用して、COVID-19 をテーマにしたキャンペーンを特定し、報告し始めています。

マルウェア配布キャンペーンの例

3 月 18 日、さまざまな業界や地域の企業の個人が、SILENTNIGHT バンキング マルウェア (Zloader とも呼ばれる) の配布を目的とした「COVID-19 Payment」という件名の電子メールを受信しました。キャンペーンが広く配布されたにもかかわらず、複数の関連するメッセージがカナダに拠点を置く組織に送信されました。興味深いことに、これらの電子メールの内容はいくぶん一般的なものでしたが、受信者の地理的状況や状況に応じて関連する政府関係者に関連する通貨で行われた支払いを参照するようにカスタマイズされている場合がありました (図 1 および図 2)。これらの電子メールは、さまざまな @gmx.com 電子メール アドレスの大規模なプールから送信され、「COVID 19 Relief.doc」というファイル名を使用して、パスワードで保護された Microsoft Word 文書が添付されていました (図 3)。電子メールは自動生成されたようで、<name>.<name><SevenNumberString>@gmx.com の形式に従います。これらの文書を開いてマクロを有効にすると、http://209.141.54[.]161/crypt18.dll から SILENTNIGHT のインスタンスをダウンロードして実行するように作成された .JSE スクリプトをドロップして実行します。

この URL からダウンロードされた SILENTNIGHT の分析サンプルは、9e616a1757cf1d40689f34d867dd742e の MD5 ハッシュを持ち、RC4 キー「q23Cud3xsNf3」を使用し、SILENTNIGHT ボットネット「PLSPAM」に関連付けられていました。このボットネットは、主に米国およびカナダの金融機関の webinject のターゲットを含む構成ファイルをロードすることが確認されています。さらに、このサンプルは、次のコントローラー インフラストラクチャに接続するように構成されています。

  • http://marchadvertisingnetwork4[.]com/post.php
  • http://marchadvertisingnetwork5[.]com/post.php
  • http://marchadvertisingnetwork6[.]com/post.php
  • http://marchadvertisingnetwork7[.]com/post.php
  • http://marchadvertisingnetwork8[.]com/post.php
  • http://marchadvertisingnetwork9[.]com/post.php
  • http://marchadvertisingnetwork10[.]com/post.php
Example lure using CAD
図 1: CAD を使用したルアーの例
AUDを使ったルアー例
図 2: AUD を使用したルアーの例
悪意のある Word ドキュメント
図 3: 悪意のある Word ドキュメント

フィッシング キャンペーンの例

米国の金融サービス組織の個人には、「COVID-19 への対応に応じた企業助成金および融資に関する内部ガイダンス」という件名の電子メールが送信されました (図 4)。これらの電子メールには OpenDocument プレゼンテーション (.ODP) 形式の添付ファイルが含まれており、Microsoft PowerPoint または OpenOffice Impress で開くと、米国中小企業局 (SBA) をテーマにしたメッセージ (図 5) と Office 365 フィッシングにリダイレクトするインライン リンクが表示されます。キット (図 6) は、https://tyuy56df-kind-giraffe-ok.mybluemix[.]net/ でホストされています。

ビジネスの助成金や融資に言及する電子メールのおとり
図 4: ビジネスの助成金や融資に言及する電子メールのおとり
SBAをテーマにしたメッセージ
図 5: SBA をテーマにしたメッセージ
Office 365 のフィッシング ページ
図 6: Office 365 のフィッシング ページ

含意

悪意のあるアクターは常に、ユーザーの切迫感、恐怖、善意、不信感を悪用して、操作を強化してきました。この危機を悪用する脅威アクターは新しいものではなく、新しい情報を緊急に求めている特に負荷の高いターゲット セットを利用しているだけです。このダイナミクスを認識しており、慎重な懐疑心を持って新しい情報にアプローチするユーザーは、この課題に対応する準備ができているでしょう。

参照: https://www.mandiant.com/resources/blog/social-engineering-based-stimulus-bill-and-covid-19-financial-compensation-schemes-expected-grow-coming-weeks

Comments

Copied title and URL