現在進行中のフィッシング・キャンペーンは、LastPassとBitwardenのユーザーを標的に、両社がハッキングされたと主張する偽の電子メールを送りつけ、パスワード・マネージャーのよりセキュアなデスクトップ・バージョンをダウンロードするよう促している。
このメッセージは、マネージド・サービス・プロバイダー(MSP)がITオペレーションを合理化するために使用しているリモート監視・管理(RMM)ツールであるSyncroをインストールすることを発見したバイナリをダウンロードするよう、受信者に指示している。
脅威行為者は、ScreenConnect リモートサポートおよびアクセスソフトウェアを展開するために Syncro MSP プログラムを使用しています。
脆弱な」古い .EXE インストール
LastPassは今週の脅威アラートで、同社がサイバーセキュリティインシデントに見舞われたわけではなく、このメッセージは脅威行為者によるソーシャルエンジニアリングによるものであることを明らかにしている。
「明確にしておくと、LastPassはハッキングされておらず、これはソーシャルエンジニアリングやフィッシングメールの一般的な手口である、受信者の注意を引き、緊急性を高めようとする悪意のある行為者側の試みである」とLastPassは述べている。
同社によると、このキャンペーンは週末に開始され、おそらくコロンブスデーの連休で人手が減っていることを利用して、発見を遅らせようとしたものと思われる。
フィッシングメールは巧妙に作られており、LastPassが “時代遅れの.exeフォーマット “に代わるMSIとして開発した、より安全なデスクトップアプリをインストールするよう受信者に促している。
“攻撃者は、古い.exeインストールの弱点を悪用し、特定の条件下で、キャッシュされたデータ保管庫のデータへの不正アクセスを許す可能性がある “と、脅威行為者からの偽のセキュリティアラートを読んでいる。
Source :
LastPassは、偽メールの送信元が’hello@lastpasspulse[.]blog‘であることを指摘しているが、’hello@lastpasjournal[.]blog‘からのメールも確認されている。
ビットワーデンのユーザーも標的に
このフィッシングメールはBitwardenになりすまし、同じ文体と誘い文句で、緊急感を煽り、受信者に改良されたデスクトップアプリケーションのダウンロードリンクを踏ませようとしている。
昨日、‘hello@bitwardenbroadcast.blog’から、同様のセキュリティ・インシデントが発生し、ユーザーがインストールする必要があるセキュア・クライアント・アプリのリリースを促したという通知を受け取った。
ソースは こちら:
本稿執筆時点では、Cloudflareは詐欺メールに含まれるランディングページへのアクセスをブロックしており、フィッシング未遂としてマークしている。
正規のリモートアクセスツール
は、LastPassとBitwardenのユーザーをターゲットにしたフィッシングメールで配布されたバイナリサンプルを取得し、機能的に同じであることを発見しました。
このマルウェアは、ユーザが新しいツールに気づかないようにするため、システムトレイアイコンを隠すパラメータを使用して Syncro MSP プラットフォームエージェントをインストールします。
私たちの観察によると、Syncro の唯一の目的は、ScreenConnect サポートツールを「bring-your-own」インストーラーとして展開し、脅威行為者にエンドポイントへのリモートアクセスを与えることにあるようです。
Syncro エージェントは、非常に少数のオプションで構成されており、脅威行為者が必要な機能だけに限定したことを示唆している。
設定ファイルを見ると、エージェントは90秒ごとにサーバーにチェックインしている。組み込みのリモートアクセスは有効化されておらず、SyncroプラットフォームにバンドルされているリモートサポートユーティリティSplashtopや、統合が存在するTeamViewerも展開されていない。
さらに、抽出された構成には、侵害されたエンドポイントにセキュリティソリューションを展開するためのポリシーが含まれておらず、Emsisoft、Webroot、および Bitdefender のエージェントが無効になっていました。
ScreenConnectがデバイスにインストールされると、脅威当事者は標的のコンピュータにリモートで接続し、マルウェアのペイロードを展開したり、データを盗んだり、保存された認証情報を介してユーザーのパスワード保管庫にアクセスしたりすることが可能になります。
1Passwordアカウントを狙ったフィッシング
先週、別のキャンペーンが1Passwordユーザーを標的に、アカウントが侵害されたと偽の警告メールを送信しました。メッセージやランディングURLの文言から送信者アドレス(watchtower@eightninety[.]com)まで、その活動の指標は異なっていた。
ソースはこちら:マルウェアバイト
サイバーセキュリティ企業Malwarebytesの研究者によると、埋め込みボタンをクリックしたユーザーは、Mandrillappのリダイレクトを経由してフィッシングページ(onepass-word[.]com)に誘導されたという。
1Passwordを狙った攻撃は、9月25日にBrett Christensen(Hoax-Slayer)によって最初に報告された。
Source:Malwarebytes
パスワード管理ツールのユーザーは、このようなアラートを無視し、常にプロバイダの公式ウェブサイトにログインして、審査中のセキュリティアラートがないか確認する必要がある。
メールに記載されているような重要なセキュリティ・インシデントは、企業のブログやプレス・リリースでも広く伝えられているため、公式チャンネルでダブルチェックすることは常に良い習慣です。
また、企業が保管庫のマスター・パスワードを尋ねることは決してないことを覚えておく価値がある。
更新 10/16– シンクロはフィッシング・キャンペーンに関して以下の声明を発表した:
「悪意のあるアカウントを特定し、これ以上エージェントがインストールできないように、インストールをシャットダウンしました。シンクロのプラットフォーム自体が侵害されたのではなく、MSPを装った悪意のある行為者がこのアカウントを作成し、悪意のある目的に使用したのです。”- シンクロの広報担当者
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍に増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments