新たなフィッシング キャンペーンでは、Microsoft Teams メッセージを悪用して、DarkGate Loader マルウェアをインストールする悪意のある添付ファイルを送信しています。
このキャンペーンは、侵害された 2 つの外部 Office 365 アカウントから他の組織に Microsoft Teams フィッシング メッセージが送信されていることが確認された 2023 年 8 月下旬に始まりました。
これらのアカウントは、他の Microsoft Teams ユーザーを騙して、「休暇スケジュールの変更」という名前の ZIP ファイルをダウンロードして開かせるために使用されていました。
![ターゲットに送信されるフィッシング メッセージ](https://www.bleepstatic.com/images/news/u/1220909/2023/Malware/56/phishing.jpg)
添付ファイルをクリックすると、SharePoint URL から ZIP のダウンロードがトリガーされ、PDF ドキュメントを装った LNK ファイルが含まれます。
Truesecの研究者は、Microsoft Teams フィッシング キャンペーンを分析し、DarkGate Loader として特定されるペイロードにつながる感染チェーンを引き起こす悪意のある VBScript が含まれていることを発見しました。
検出を回避しようとするため、ダウンロード プロセスでは Windows cURL を利用してマルウェアの実行ファイルとスクリプト ファイルを取得します。
このスクリプトは事前にコンパイルされた状態で到着し、AutoIT スクリプトに関連付けられた識別可能な「マジック バイト」で始まる悪意のあるコードがファイルの途中に隠されています。
![悪意のあるスクリプトの Magicbytes セクション](https://www.bleepstatic.com/images/news/u/1220909/2023/Malware/56/magicbyte.jpg)
次に進む前に、スクリプトは対象のマシンにソフォスのウイルス対策ソフトウェアがインストールされているかどうかを確認し、インストールされていない場合は、追加のコードの難読化を解除してシェルコードを起動します。
シェルコードは、「スタック文字列」と呼ばれる手法を使用して、DarkGate Windows 実行可能ファイルを構築し、メモリにロードします。
![ペイロードの詳細](https://www.bleepstatic.com/images/news/u/1220909/2023/Malware/56/payload.jpg)
Microsoft Teams フィッシング
Truesec とDeutsche Telekom CERTが確認したこのキャンペーンは、侵害された Microsoft Teams アカウントを利用して、悪意のある添付ファイルを他の Teams 組織に送信します。
Microsoft Teams フィッシングは、Jumpsec による2023 年 6 月のレポートで以前に実証されており、フィッシングとソーシャル エンジニアリングを通じて他の組織に悪意のあるメッセージを送信する方法を発見しました。これは、報告された攻撃で確認されたものと同様です。
この発見によって引き起こされた騒動にもかかわらず、Microsoft はリスクに対処しないことを決定しました。代わりに、管理者は範囲が狭い許可リストなどの安全な構成を適用し、外部テナントとの通信が必要ない場合は外部アクセスを無効にすることを推奨します。
Red Teamer が2023 年 7 月にリリースしたツールは、この Microsoft Teams フィッシング攻撃を効率化し、実際に悪用される可能性をさらに高めました。
ただし、この手法が最近観察されたキャンペーンの攻撃チェーンに関与しているという兆候はありません。
ダークゲートが開く
DarkGate は 2017 年から出回っており、非常に特定のターゲットに対して使用する少数のサイバー犯罪者による限定的な使用が確認されています。
これは、リモート アクセス用の hVNC、暗号通貨マイニング、リバース シェル、キーロギング、クリップボード窃盗、情報窃盗 (ファイル、ブラウザ データ) など、幅広い悪意のあるアクティビティをサポートする強力なマルウェアです。
2023 年 6 月、 ZeroFox は、DarkGate のオリジナルの作成者を名乗る人物が年間 10 万ドルという法外な費用で 10 人にマルウェアへのアクセスを販売しようとしたと報告しました。
![DarkGate に関するフォーラムの投稿](https://www.bleepstatic.com/images/news/u/1220909/2023/Malware/56/forum-post.jpg)
その後数か月間で、DarkGate の配布が増加し、 フィッシングやマルバタイジングなどのさまざまなチャネルが使用されているという複数の報告がありました。
DarkGate はまだ広範囲にわたる脅威ではないかもしれませんが、ターゲットの拡大と複数の感染経路の採用により、注意深く監視する必要がある新たな脅威となっています。
Comments