AdvIntel は、この脅威に対する認識を高めるために、現在 BazarCall を使用している複数の脅威アクターに関する新しい出版物を発表しました。
BazarCall とは何ですか? どのように機能しますか?
BazarCall はコールバック フィッシングとも呼ばれ、サイバー犯罪者が巧妙なフィッシングで被害者を狙うために使用する手法です。
よくあることですが、すべてはメールから始まります。脅威アクターは、自動支払いサービスに登録したと見せかけた、正規のメールを標的に送信します。メールには電話番号が記載されており、ターゲットがサブスクリプションをキャンセルして料金の支払いを回避したい場合に備えています。サブスクリプションサービスに連絡するには、電話をかける以外に方法はありません。
被害者が脅威アクターが管理する電話番号に電話すると、さまざまなソーシャル エンジニアリング手法が使用され、正規のソフトウェアを介してリモート デスクトップ制御を許可するように被害者を説得し、ストレスなくサブスクリプション サービスをキャンセルできるようにします。
コンピュータの制御権を握ると、脅威アクターはソーシャルエンジニアリングの手法を用いながら、リモートデスクトップアクセスを支援するように見せかけながら、正規のツールを武器化します。興味深いことに、武器化されたツールは、以前からコンティの攻撃によく使用されていたものです。
完了すると、脅威の攻撃者は被害者のコンピュータへの機能的なバックドアを手に入れ、後でそれをさらに悪用できるようになります (図 A)。
図A
複数のランサムウェア脅威アクターが危機に瀕している
AdvIntel によると、少なくとも「3 つの独立した脅威グループが、コールバック フィッシング手法から派生した独自の標的型フィッシング戦術を採用し、独自に開発している」とのことです。
コールバックフィッシング攻撃は、2021年に複数の異なるグループに侵入した悪名高いランサムウェアの脅威アクターであるContiと深く結びついています。この攻撃手法を使用する3つの脅威グループは、それぞれ独立していながらも、相互に関連しています。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Silent Ransom(別名Luna Moth)は、Contiの分裂後に独立したグループとなり、成功を収めています。AdvIntelによると、Silent RansomはConti以降のすべてのフィッシングキャンペーンの元祖であり、平均収益は100億ドル近くに達しています(図B)。
図B
この脅威グループがBazarCallの運用に使用している正規ツールは、AnyDesk、Atera、Syncro、SplashTop、Rclone、SoftPerfect Network Scanner、SharpSharesなどです。最初のフィッシングメールは、Duolingo、Zoho、MasterClassといった正規サービスに乗っ取られています。
Contiの別の部門であるQuantumは、BazarCall技術を使用しています。この脅威アクターはロシアのウクライナ侵攻に加担しており、コスタリカ攻撃にも関与しています。AdvIntelによると、このグループはスパマー、オープンソース・インテリジェンス(OSINT)の専門家、コールセンターオペレーター、ネットワーク侵入者の雇用に多額の投資を行っていました。研究者らは、「高度なスキルを持つ(そしておそらく政府系)グループであるQuantumは、独占的な電子メールデータセットを購入し、それらを手動で解析することで、有名企業の関連従業員を特定することができた」と指摘しています。
BazarCallの手法を利用する3つ目の脅威グループはRoy/Zeonです。このグループのメンバーはRyukランサムウェアの作成に関与しており、最も価値の高いセクター/業界のみを標的とする傾向があります。
変化する被害者学
AdvIntel の研究者は、コールバック フィッシングにより、ランサムウェアを使用するグループの被害者構成が劇的に変化したと指摘しています (図 C)。
図C
これらの攻撃キャンペーンは標的を絞った性質を持っていたため、金融、テクノロジー、法律、保険といった分野への攻撃が増加しました。これらの4つの業界は、元コンティのメンバー間で共有されているすべての社内マニュアルに記載されていましたが、依然として製造業が最も標的となっているようです。
BazarCall がランサムウェア脅威グループにとって革命である理由は何ですか?
テクニカル サポート詐欺にも同様の詐欺は存在しますが、コール センターを利用してコンピューターを感染させるというこの手法は、これまでランサムウェア攻撃では使用されていませんでした。
ランサムウェア攻撃は、ほとんどの場合、同じ攻撃パターンに依存しており、感染方法を完全に変更すると、感染成功率が確実に高まります。
さらに、標的のコンピュータへの最初のアクセスとその後のアクセスには、正規のツールのみが必要です。これらのツールは通常、ウイルス対策ソフトウェアやセキュリティソリューションによって疑わしいツールとして検出されません。
これらすべてにより、BazarCall はランサムウェア運営者にとって非常に興味深い技術となります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
この脅威からどのように身を守るのでしょうか?
攻撃者が最初に送信したメールは、すでに疑わしい印象を与えるはずです。正規のサービスになりすましているものの、実際にはサードパーティのメールサービスから送信されており、内容や形式に誤りが含まれていることがよくあります。
各サービスプロバイダーは、通常、サービスハンドラーに連絡する複数の方法から顧客が選択できるように、常に可能な限り簡単にアクセスできるようにしているのに、サブスクリプションサービスに連絡する方法が 1 つしかないという事実も疑わしいものです。
このようなフィッシング メールを検出するには、ウイルス対策ソフトウェアやエンドポイント セキュリティ ソフトウェアに加えて、電子メール セキュリティ ソリューションを導入する必要があります。
真に身元が特定され、信頼できない相手にリモートデスクトップアクセスを提供するべきではありません。もし提供され、疑いが生じた場合は、直ちにコンピュータをインターネットから切断し、すべてのユーザーパスワードを変更し、ウイルス対策ソフトウェアとセキュリティ対策ソフトウェアを使用してシステムの完全スキャンを実行する必要があります。疑わしいコンピュータが企業ネットワークに接続されている場合は、システム管理者とITチームに直ちに連絡を取り、ネットワーク全体の整合性を確認してください。
基本的な衛生管理も常に尊重する必要があります。一般的な脆弱性による侵害を防ぐために、すべてのオペレーティング システムとソフトウェアは常に最新の状態に保たれ、パッチが適用されている必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
