Zimbraメールユーザー、標的型クレデンシャル盗難攻撃に直面
1. キューバのランサムウェア、Veeamのエクスプロイトを利用して米国の重要セクターを狙う
キューバのランサムウェア脅威グループは、その戦術、技術、手順(TTP)に進化を見せている。6月に行われた最近のキャンペーンでは、米国の重要インフラ部門の組織とラテンアメリカのITインテグレーターを攻撃し、ターゲットを侵害するために、新しいツールの導入とともに、以前から知られていた手法を組み合わせて使用しました。攻撃の初期段階では、このグループ特有のカスタムダウンローダであるBUGHATCHを展開しました。このダウンローダーは、コマンド・アンド・コントロール(C2)サーバーに接続し、攻撃者が選択したペイロード(多くの場合、小さなPEファイルやPowerShellスクリプト)をフェッチします。
Metasploitは、一般的な侵入テストフレームワークであり、Cubaのオペレータは、ターゲット環境内で最初の足掛かりを得るために使用しました。さらにこのグループは、マイクロソフトのNetLogonプロトコルの欠陥である「ZeroLogon」脆弱性を活用しました。この脆弱性は、アクティブ・ディレクトリ(AD)ドメイン・コントローラに対する特権をエスカレートさせる可能性があり、攻撃者は脆弱なドメインをコントロールできる可能性があります。今回のキャンペーンで新たに追加されたのは、Veeamの脆弱性CVE-2023-27532に対するエクスプロイト(システムに侵入したいハッカーから見てのうまい抜け道)です。この脆弱性が悪用されると、攻撃者はVeeam Backup & Replicationソフトウェアのコンフィギュレーション・ファイルに保存された認証情報にアクセスできるようになります。組織は、このような進化する攻撃から資産とデータを保護するために、ネットワーク監視、エンドポイントセキュリティ、アクセス制御などの堅牢なサイバーセキュリティインフラとプラクティスに投資することが極めて重要です。
2. Zimbra の電子メールユーザーを標的にクレデンシャル窃取を目的とした攻撃キャンペーンに新たな波
セキュリティ研究者は、Zimbra Collaborationソフトウェアのユーザーを狙った活発なフィッシングキャンペーンを確認しました。このキャンペーンの核心は、電子メールサーバーの管理者を装った偽の電子メールにあります。これらのメールは、様々なソーシャルエンジニアリングの手口を使い、緊急性や重要性を演出しています。例としては、メールサーバーの更新やアカウントの停止が迫っていることの通知などが挙げられます。
これらのメールにはHTMLファイルが添付されています。このファイルを開くと、ユーザは偽のZimbraログインページにリダイレクトされます。送信されると、ログイン認証情報は攻撃者の管理下にあるサーバーに送信されます。特に問題なのは、攻撃者がすでに侵害されたZimbraアカウントを使用していることです。これらのアカウントは、その後のフィッシングメールを正当化し(本物のアカウントから送信されているため)、キャンペーンの範囲を拡大するという2つの目的を果たします。組織は、このような脅威から身を守るために、堅牢な電子メールセキュリティ制御や二要素認証(2FA)のような技術的な安全策とユーザー教育の両方を組み合わせて、警戒を怠らない必要があります。
3. WoofLockerツールキット、画像に悪意のあるコードを隠して技術サポート詐欺を実行
WoofLockerは、主に技術サポート詐欺に使用される高度なトラフィックリダイレクトスキームです。悪意のあるJavaScriptの埋め込みやステガノグラフィなどの高度なテクニックを使用し、本物のユーザーを識別して標的にします。侵害されたサイトを訪問すると、WoofLocker の埋め込まれた悪意のある JavaScript が開始され、いくつかのドメイン名から Document Object Model (DOM) に直接 WoofLocker フレームワークを取得します。当初、侵害されたサイトに注入されたコードは単純で、フィンガープリントチェックを含んでいました。しかし、2021年までに、脅威行為者はこのアプローチを変更しました。
コードは合理化され、特定のロジックコンポーネントが外部化されました。この外部注入により、検知はさらに難しくなりました。Chromeのデベロッパーツールのようなツールを使用すると、注入されたコードはDOM内で動的に見えるようになります。 各ユーザーから取得した情報は、ステガノグラフィーを使ってPNG画像の形でサーバーにリレーバックされます。ユーザーが正当であると判断された場合、コンピューターウイルスに関する偽の警告を表示する固有のURLにリダイレクトされます。ユーザーは、認知していないJavaScriptを制限し、高度なセキュリティ・ソリューションを採用し、オンライン上の潜在的な危険について警戒し、情報を得ることが推奨されます。
4. ImpacketとRemComを組み込んだBlackCatランサムウェアの新しい亜種
BlackCatは、ロシア語を話し、DarkSideやBlackMatterの後継者であると考えられている、元REvilのメンバーとつながりのある犯罪組織です。BlackCatランサムウェア(別名ALPHVとNoberus)の新バージョンが発見されました。ImpacketやRemComのようなツールを組み込み、横方向の動きとリモートコード実行を促進します。Impacketは、ネットワーク侵入テスト、セキュリティ評価、および関連研究のために作成されたオープンソースモジュールのセットです。マイクロソフトによると、BlackCatはImpacketのクレデンシャル・ダンピングとリモート・サービス実行コンポーネントを活用することで、ターゲット環境にランサムウェアを拡散します。
RemComツールはリモートでのコード実行を可能にします。これは、すでに設定されているランサムウェアのユーザー名とパスワードに埋め込まれています。これにより、ネットワーク内の他のコンピューターにランサムウェアを拡散させ、身代金のためにさらに多くのファイルをロックすることができます。すべての管理インターフェイスを徹底的に監視し、適切なアクセス制御できめ細かく設定することが推奨されます。組織は、実行ファイルのパス、ハッシュ、発行元などの属性に基づいて、クライアント・システム内でのソフトウェアの実行を制御することができます。ほとんどの組織では、許可リストを使用して一貫性を強制し、異常が検出された場合に警告を発することができます。これにより、許可されたソフトウェアのみの実行を許可し、明示的な例外ルールなしに悪意のあるソフトウェアや脅威行為者ツールが実行されるのを防ぐことができます。
5. HiatusRATが新たな攻撃を仕掛けてくる
研究者は、特に旧式の DrayTek Vigor ルーターを標的とした悪質なソフトウェア HiatusRAT を発見しました。HiatusRATのキャンペーンは、Linux環境でタスクを自動化するための一般的なツールであるbashスクリプトに大きく依存しています。一旦HiatusRATがシステムに侵入すると、すぐに行動を開始し、ユーザーの活動を密かに記録します。さらに、MACアドレスからファームウェアのバージョンに至るまで、システムの詳細を引き出す詳細な偵察を行います。
このキャンペーンのもう一つの重要なコンポーネントであるカスタムtcpdumpは、侵害されたデバイスの正確なパケットキャプチャのために設計されています。このツールは単なる受動的なオブザーバーではなく、積極的にトラフィックをスキャン・監視し、特に隣接するLANからの電子メールとファイル転送通信に焦点を当てています。HiatusRATの背後にいる脅威当事者は、最小限のデジタルフットプリントを維持し、検出を回避するよう注意を払っています。組織は、機密データを隔離して保護するためにVPNベースのアクセスを採用し、SSLやTLSなどの暗号化プロトコルを採用して、転送中のデータの整合性を強化することが推奨されます。