Ransomware gangs pose as IT support in Microsoft Teams phishing attacks

ランサムウェア集団は、従業員を騙してリモートコントロールを許可させ、社内ネットワークへのアクセスを提供するマルウェアをインストールするために、Microsoft Teamsの通話で技術サポートを装った後に、電子メール爆撃を採用するケースが増えている。

脅威の主体は、短期間に何千ものスパムメッセージを送信し、その後、ITサポートを提供するふりをして、敵が管理するOffice 365インスタンスからターゲットに電話をかけます。

この手口は、昨年末からBlack Bastaランサムウェアに起因する攻撃で確認されているが、サイバーセキュリティ企業Sophosの研究者は、FIN7グループに関連している可能性のある他の脅威行為者によって同じ手法が使用されていることを確認している。

ハッカーは会社の従業員に接触するため、標的となった組織の Microsoft Teams のデフォルト設定を利用します。この設定では、外部ドメインからの通話やチャットが許可されています。

観測された活動

ソフォスが調査した最初のキャンペーンは、研究者が社内で STAC5143 として追跡しているグループに関連しています。ハッカーはまず、45分間で3,000通という大量のメッセージをターゲットに電子メールで送信しました。

その直後、標的となった従業員は、”Help Desk Manager “というアカウントから外部のTeamsコールを受けた。脅威者は、Microsoft Teamsを通じてリモート画面制御セッションをセットアップするよう被害者を説得しました。

攻撃者は、外部のSharePointリンクにホストされているJavaアーカイブ(JAR)ファイル(MailQueue-Handler.jar)とPythonスクリプト(RPivotバックドア)をドロップしました。

JARファイルはPowerShellコマンドを実行し、悪意のあるDLL(nethost.dll)をサイドロードした正規のProtonVPN実行ファイルをダウンロードします。

このDLLは、外部IPとの暗号化されたコマンド&コントロール(C2)通信チャネルを作成し、攻撃者に侵害されたコンピュータへのリモートアクセスを提供します。

攻撃者はまた、Windows Management Instrumentation(WMIC)とwhoami.exeを実行してシステムの詳細を確認し、第2段階のJavaマルウェアを展開してRPivot(コマンド送信のためにSOCKS4プロキシトンネリングを可能にする侵入テストツール)を実行しました。

Obfuscated RPivot code
難読化された RPivot のコード
Source:ソフォス

RPivotは過去にもFIN7による攻撃で使用されている。さらに、使用されている難読化技術も、FIN7 のキャンペーンで過去に確認されています。

しかし、RPivot も難読化手法のコードも公開されているため、ソフォスは STAC5143 の攻撃と FIN7 の活動を高い信頼性で結びつけることはできません。

「Sophosは、この攻撃で使用されたPythonマルウェアがFIN7/Sangria Tempestの背後にいる脅威行為者に関連していると、中程度の信頼度で評価しています」と研究者は説明しています。

この攻撃は最終段階に達する前に停止されたため、研究者は、ハッカーの目的はデータを盗み、ランサムウェアを展開することであったと考えています。

2つ目のキャンペーンは、「STAC5777」として追跡されているグループによるものだった。これらの攻撃も電子メールによる爆撃から始まり、ITサポート部門を名乗るMicrosoft Teamsのメッセージが続いた。

しかしこのケースでは、被害者は騙されてMicrosoft Quick Assistをインストールさせられ、攻撃者にキーボードへのハンズオンアクセスを与え、Azure Blob Storage上にホストされたマルウェアのダウンロードに利用される。

マルウェア(winhttp.dll)は、正規のMicrosoft OneDriveStandaloneUpdater.exeプロセスにサイドロードされ、PowerShellコマンドは、システム起動時にそれを再起動するサービスを作成します。

悪意のある DLL は、Windows API を介して被害者のキー入力を記録し、ファイルやレジストリから保存された認証情報を取得し、SMB、RDP、WinRM を介して潜在的な接続ポイントをネットワーク上でスキャンします。

ソフォスは、STAC5777 がネットワーク上に Black Basta ランサムウェアを展開しようとしていることを確認しており、この脅威者は悪名高いランサムウェア集団に何らかの形で関連している可能性が高いと考えられます。

研究者は、脅威者がファイル名に「password」が含まれるローカルのメモ帳やWord文書にアクセスしているのを確認しました。ハッカーはまた、2つのリモート・デスクトップ・プロトコル・ファイルにアクセスし、おそらくクレデンシャルの可能性のある場所を探していた。

このような手口がランサムウェアの分野で広まっているため、組織はMicrosoft Teamsで外部ドメインがメッセージや通話を開始するのをブロックし、重要な環境ではQuick Assistを無効にすることを検討する必要がある。