Benchmarks Brawte nfaq 0 Comments

米国の原油契約価格がマイナスになる数週間前、スピアフィッシング攻撃団が石油会社を狙った。彼らは何を得たのだろうか?

Table of Contents

米国の原油契約価格がマイナスになる数週間前、スピアフィッシング攻撃団が石油会社を狙った。彼らは何を得たのだろうか?

月曜日に米国産原油価格が暴落し、先物契約価格がマイナスになるという奇妙な状況が生じたため、私たちは世界の石油生産に関わる組織に対するスピアフィッシング攻撃に注目しました。

Bitdefenderは本日、世界中の石油・エネルギー企業を標的としたスパイ活動の詳細を発表しました。フィッシング攻撃は3月31日、石油生産国によるOPEC総会の直前にピークを迎え、多くの石油生産国が標的になったと伝えられています。

ルアー自体は、一見すると平凡なものでした。様々な企業の標的に、レポートやフォームを添付した「Agent Tesla」と呼ばれるWindowsスパイウェアを含むスピアフィッシングメールが送られてきたのです。メールを開くと、Agent TeslaはYandexメールサーバー(smtp.yandex.com)を起動し、主人からのコマンドを受信して​​盗んだデータを返信します。おそらくメール経由で送られてくるのでしょう。これらのコマンドは、パスワードキーの入力やクリップボードの内容など、収集すべき情報をソフトウェアに指示し、フィッシングキャンペーンの背後にいる人物へと送信されていました。

Bitdefenderによると、今回のケースで特異なのは、標的となった企業グループが非常に限定的であることだ。世界中の主要な石油生産組織に、エジプトの石油・ガスエンジニアリング会社Enppiからと思われるメールが送信された。

「なりすましのエンジニアリング請負業者(Enppi - 石油およびプロセス産業向けエンジニアリング)は、石油とガスの陸上および海上プロジェクトの経験があり、攻撃者はその評判を悪用して、マレーシア、米国、イラン、南アフリカ、オマーン、トルコなどのエネルギー産業を標的にしている」とBitdefender Labsチームは述べた。

2 つ目の、はるかに小規模なスピアフィッシング攻撃は、フィリピンに拠点を置く海運会社になりすまし、同国の石油・ガス会社を標的にしました。

攻撃の深刻さと、それが現在の出来事とどのように関連しているかを理解する上で、標的となった企業とその所在地は重要です。標的となった企業はいずれも、世界の石油市場の主要なステークホルダーである国々に所在しています。

画像提供:Arak Rattanawijittakorn http://www.shutterstock.com/gallery-2364116p1.html

Google:過去1週間で1億2600万件のCOVID-19フィッシング詐欺をブロック

続きを読む

新型コロナウイルス感染症のパンデミックによる原油需要の急減と経済不安を受け、OPEC(石油輸出国機構)は化石燃料の減産に踏み切り、世界中のエネルギー企業とその買い手、そして供給業者は慌てて対応を迫られています。供給が需要を上回っているため、不要な原油が山積みになり、価格が極端に下落しているため、一部の流通業者は回収業者に報酬を支払って処分させています。

どうやら、攻撃者が狙っているのは、石油・エネルギー会社が削減に対処するために採用している戦略の詳細であるようだ。

「石油・ガス業界へのスピアフィッシング攻撃は、ビジネスメール詐欺の一部である可能性があるが、Tesla Agent情報窃盗ツールが投入されたという事実は、これらの攻撃がよりスパイ活動に重点を置いたものである可能性を示唆している」と、Bitdefenderの上級電子脅威アナリスト、Liviu Arsene氏はThe Registerに語った。

「特に標的のニッチな業界と進行中の石油危機を考慮すると、石油やガスの価格や開発に何らかの利害関係を持つ脅威アクターが関与している可能性がある。」

言い換えれば、誰かが、おそらく民間のエネルギー会社か、国家の支援を受けたハッカー集団か、あるいはその両者の組み合わせが、企業が石油危機にどう対処しているかを監視し、市場に反応したり、さらには先手を打ったりできるようにしたいと考えているのだ。

インフラストラクチャ、特に通常の Yandex サーバーの使用から、攻撃者がロシア人であるという憶測が広がる可能性があるが、マルウェア操作者が世界中の合法で混雑したサービスを使用して通信するのはかなり一般的であるため、Arsene 氏はホストについてあまり読み込まないように警告している。

「攻撃者が電子メールサービスやソーシャルネットワーキングプラットフォームなどの正当なサービスをコマンドアンドコントロールに悪用することは珍しいことではない」とアルセーヌ氏はエル・レグに説明した。

被害者と攻撃者間の通信は正規のサービスを経由して行われるため、セキュリティツールには正規のサービスであるかのように見せかけられます。また、ハッカーは法執行機関の管轄が難しく、サーバーへのアクセスに多くの承認が必要となる場所を好みます。

管理者は、ユーザーが Agent Tesla トロイの木馬から保護されていることを確認することをお勧めします (このトロイの木馬は 2014 年から存在しているため、ほとんどのウイルス対策ソフトウェアで検出されるはずです)。また、該当する場合は、Bitdefender が上記のリンク先のレポートでブロックするファイル ハッシュのリストと侵害の兆候を提供しています。®

Benchmarks

Smart Recommendations

Discover More