Microsoft Teams フィッシング攻撃により DarkGate マルウェアがプッシュされる

新たなフィッシングキャンペーンでは、Microsoft Teams メッセージを悪用して、DarkGate Loader マルウェアをインストールする悪意のある添付ファイルを送信しています。

このキャンペーンは、侵害された 2 つの外部 Office 365 アカウントから他の組織に Microsoft Teams フィッシングメッセージが送信されていることが確認された 2023 年 8 月下旬に始まりました。

これらのアカウントは、他の Microsoft Teams ユーザーを騙して、「休暇スケジュールの変更」という名前の ZIP ファイルをダウンロードして開かせるために使用されていました。

添付ファイルをクリックすると、SharePoint URL から ZIP のダウンロードがトリガーされ、PDF ドキュメントを装った LNK ファイルが含まれます。

Truesecの研究者は、Microsoft Teams フィッシングキャンペーンを分析し、DarkGate Loader として特定されるペイロードにつながる感染チェーンを引き起こす悪意のある VBScript が含まれていることを発見しました。

検出を回避しようとするため、ダウンロードプロセスでは Windows cURL を利用してマルウェアの実行ファイルとスクリプトファイルを取得します。

このスクリプトは事前にコンパイルされた状態で到着し、AutoIT スクリプトに関連付けられた識別可能な「マジックバイト」で始まる悪意のあるコードがファイルの途中に隠されています。

次に進む前に、スクリプトは対象のマシンにソフォスのウイルス対策ソフトウェアがインストールされているかどうかを確認し、インストールされていない場合は、追加のコードの難読化を解除してシェルコードを起動します。

シェルコードは、「スタック文字列」と呼ばれる手法を使用して、DarkGate Windows 実行可能ファイルを構築し、メモリにロードします。

Table of contents

Microsoft Teams フィッシング

Truesec とDeutsche Telekom CERTが確認したこのキャンペーンは、侵害された Microsoft Teams アカウントを利用して、悪意のある添付ファイルを他の Teams 組織に送信します。

Microsoft Teams フィッシングは、Jumpsec による2023 年 6 月のレポートで以前に実証されており、フィッシングとソーシャルエンジニアリングを通じて他の組織に悪意のあるメッセージを送信する方法を発見しました。これは、報告された攻撃で確認されたものと同様です。

この発見によって引き起こされた騒動にもかかわらず、Microsoft はリスクに対処しないことを決定しました。代わりに、管理者は範囲が狭い許可リストなどの安全な構成を適用し、外部テナントとの通信が必要ない場合は外部アクセスを無効にすることを推奨します。

Red Teamer が2023 年 7 月にリリースしたツールは、この Microsoft Teams フィッシング攻撃を効率化し、実際に悪用される可能性をさらに高めました。

ただし、この手法が最近観察されたキャンペーンの攻撃チェーンに関与しているという兆候はありません。

DarkGate は 2017 年から出回っており、非常に特定のターゲットに対して使用する少数のサイバー犯罪者による限定的な使用が確認されています。

これは、リモートアクセス用の hVNC、暗号通貨マイニング、リバースシェル、キーロギング、クリップボード窃盗、情報窃盗 (ファイル、ブラウザデータ) など、幅広い悪意のあるアクティビティをサポートする強力なマルウェアです。

その後数か月間で、DarkGate の配布が増加し、フィッシングやマルバタイジングなどのさまざまなチャネルが使用されているという複数の報告がありました。

DarkGate はまだ広範囲にわたる脅威ではないかもしれませんが、ターゲットの拡大と複数の感染経路の採用により、注意深く監視する必要がある新たな脅威となっています。