フォーティネットのFortiGuard Labsによる最新の調査では、最近確認されたフィッシングキャンペーンが取り上げられています。このキャンペーンは、巧妙に細工されたメールを利用して、説得力のあるフィッシングページへのリンクを張ったURLを送信します。これらのページは、受信者を誘導し、最終的に様々なリモートアクセスツール(RAT)を展開するマルウェアUpCrypterのドロッパーとして機能するJavaScriptファイルをダウンロードさせるように設計されています。
偽装サイトは標的のメールドメインでパーソナライズされており、信頼性を高めています。最新の研究では、様々な手法を用いて被害者を誘い込み、PureHVNC、DCRat、Babylon RATなど複数のRATを配信する感染チェーンが報告されています。
調査結果が示すように、攻撃者はオンラインで入手できる既成ツールを使って、フィッシングメールや偽のウェブサイトを簡単に作成できるようになりました。これらのツールを使うことで、単純な詐欺行為だけでなく、マルウェアを拡散するための完全なシステムを構築することが可能になります。
これは単にメールログイン情報を盗むだけではありません。一度侵入されると、攻撃者はシステムを長期間にわたって制御し続ける可能性があります。ユーザーと組織は、この脅威を深刻に受け止め、強力なメールフィルターを使用し、スタッフがこの種の攻撃を認識して回避できるように訓練する必要があります。
私の専門家による追加解説は以下をご覧ください。
フランキー・スクラファニ、サイバーセキュリティ・イネーブルメント担当ディレクター at ディープウォッチ
「世界中の組織は、UpCrypterフィッシングキャンペーンが非常に高度で危険な脅威であることを認識する必要があります。これは、ネットワーク内に永続的な悪意のあるペイロードを密かにインストールするために設計された、包括的な攻撃プロセスです。」
このキャンペーンは真に世界規模で展開されています。FortiGuard Labsによると、わずか2週間で検出数は2倍以上に増加しており、急速かつ積極的な成長傾向を示しています。悪意のあるコードは高度に難読化され、大量のジャンクコードで埋め尽くされることで目的を隠蔽しています。マルウェアは、フォレンジックツール、デバッガー、またはany.runやWiresharkなどの仮想マシン環境を検出すると、システムをスキャンして再起動します。
UpCrypterはPowerShellと.NETリフレクションを利用して、最終的なペイロードをディスクに書き込むことなく、攻撃の次の段階をメモリ内で直接実行します。さらに、ローダーデータは、静的検出を回避するために、プレーンテキスト形式とステガノグラフィーの一種を用いて画像ファイルに埋め込まれた形式の2つの形式で配信されます。さらに、このキャンペーンはPureHVNC、DCRat、Babylon RATといった様々なリモートアクセスツール(RAT)を配信し、攻撃者が侵害したシステムを完全にリモート制御できるようにします。
従業員のトレーニングは不可欠です。WAF、メールフィルター、EDR、アンチウイルスが最新であることを確認してください。FortiGuard Antivirusなどのツールによってマルウェアが検知・ブロックされます。賢明なセキュリティチームは、脅威インテリジェンスサービスを活用し、提供される侵害指標(IOC)を実装することで、これらの攻撃をプロアクティブにブロックします。
今回のキャンペーンで使用されたような悪意のあるスクリプトを阻止するには、セキュリティチームはいくつかの重要な対策を講じる必要があります。これには、PowerShellスクリプトの署名の強制や、制約付き言語モードの使用が含まれます。日常的な運用で不要な場合は、実行ポリシーをAllSignedやRemoteSignedなどのより制限の厳しい設定に調整することで、標準ユーザーによるPowerShellの実行を制限してください。
しかし、最も効果的な対策はアプリケーションのホワイトリスト化です。ホワイトリストを実装することで、セキュリティチームは悪意のあるJavaScriptドロッパーとそれに続くRATペイロードの実行を阻止し、たとえユーザーが騙されてファイルをダウンロードしてしまったとしても、脅威を無効化することができます。
J・スティーブン・コウスキー、フィールドCTO SlashNext メールセキュリティ+
「最も重要なのは、これが一度限りのデータ盗難ではなく、企業ネットワーク内で静かに広がる可能性のある完全なシステム侵害であるという点です。
チームは、ユーザーがクリックする前にこれらの脅威を捕捉することに注力する必要があります。メールとウェブレイヤーでのブロックが最も迅速な防御策だからです。スクリプトやフィッシングサイトの難読化を回避できる自動検出が鍵となります。従来のフィルターでは、こうした巧妙な手口を見逃してしまうことが多いからです。
「偽のボイスメールや注文依頼などのおとりを見抜くようスタッフを訓練することは有効ですが、悪意のあるダウンロードをリアルタイムで阻止する脅威検出機能と組み合わせることで、攻撃者を本当に阻止できるのです。」
ジョン・バンベネック社長 バンベネクコンサルティング
偽のボイスメールや偽の請求書を装ったフィッシング詐欺は、効果が高いという理由だけで、依然として攻撃者に人気があります。しかし今回のケースでは、メールのHTML添付ファイルを開いてPowerShellを使用するという一連のイベントを探すことで、この一連のイベントを簡単かつ迅速に検出(そしてできれば阻止)できます。すべてのユーザーがPowerShellにアクセスする必要があるわけではなく、特にOutlook.exeから始まる場合はなおさらです。