Cisco Talos によると、主に世界の航空業界を狙ったフィッシング攻撃はナイジェリアと関係がある可能性があるという。
悪質なキャンペーンは、世界中の人々、さらには商業航空に少しでも関心がある人々にも送信される「既成のマルウェア」にリンクするフィッシングメールを中心としていた。
Talos は、この攻撃キャンペーンの背後にいる脅威アクターが実際にナイジェリアに拠点を置いているか、ナイジェリア政府と関係があるかは確認できなかったが、シスコの情報セキュリティ部門は、この攻撃キャンペーンは少なくとも 3 年間実行されていたと自信を持って発表した。
同社は、脅威アクターのドメインが使用するIPアドレスのリストを作成し、その73パーセントがアフリカの国に拠点を置いていると結論付け、「問題のアクターがナイジェリアに拠点を置いているという説をさらに強化する」とした。
「私たちの調査では、小規模な攻撃を実行する攻撃者が長期間、気付かれずに攻撃を続ける可能性があることがわかっています」と Talos は述べ、こうした一見小さな攻撃でも「大規模な組織で重大なインシデントにつながる可能性があります」と付け加えた。
同社はさらに、「これらは認証情報やクッキーの地下市場に資金を供給する行為者であり、それらはその後、より大きなグループによって使用される可能性がある」と付け加えた。
Cisco Talos は、Microsoft の以前の調査を基に、航空関連情報を含む PDF ファイルにつながると主張するリンクを含む悪意のある電子メールを詳しく調査しました。
ある例では、まるでドバイの航空安全当局から送信されたかのように装っていました。しかし、PDFリンクをクリックすると、Googleドライブ上にホストされている.vbsスクリプトをホストするサイトへと誘導されてしまいました。
Cisco Talosが確認した航空をテーマにしたフィッシングキャンペーンの例
その他のルアーには、有名なビジネスジェット機メーカーであるボンバルディアや「旅行日程の詳細」といった言及が含まれていました。これらは、kimjoy[.]ddns[.]net および akconsult[.]linkpc[.]net というドメインに関連付けられていました。
- AT&T Alien LabsはTeamTNTの最新マルウェアバンドルの「検出率ゼロまたは低レベル」を警告
- 分析:ドロッパー・アズ・ア・サービスの悪意ある人物が、潜在的に数千人の被害者にマルウェアを配布するために金銭を支払う
- 報告書は、フィッシング、RDPサーバーの認証情報の盗み取りなど、REvilの驚くほど単純な戦術を明らかにしている。
- 手錠:ウクライナ警察、韓国警察との合同捜査でClopランサムウェア集団の容疑者6人を逮捕
「このドメインに関連する活動を分析した結果、この攻撃者は複数のRATを使用しており、2018年8月以降、このドメインと通信するサンプルには、攻撃者が航空業界を標的にしたいと考えていたことを示す名前が付けられていることが明らかになった」とタロスは述べた。
悪意のあるスクリプトは最終的に、被害者のマシンにCyberGateリモートアクセス型トロイの木馬(RAT)をダウンロードしました。CyberGate(別名Rebhip)は、リモートシェル操作やキーロギング機能など、標的のデバイスを完全に制御できます。また、ある英国人が発見したように、無料で入手可能ですが、彼にとってはあまり役に立たなかったようです。
Talosがマルウェア攻撃に関連付けたもう一つのドメインは、AsyncRATトロイの木馬の配信でした。VMwareのセキュリティ部門であるCarbon Blackは、これをありふれたRATと定義し、「Windows Defenderの無効化など、多くの有害な活動を実行できる」と述べています。
Cisco Talos は次のように結論付けている。「今回のケースでは、一見単純な攻撃キャンペーンのように見えたものが、実際には 3 年間にわたり継続的に行われ、さまざまな暗号化ツールを偽装した既製のマルウェアを使って業界全体を標的にしていたことが示されました。」
十分に注意しないと、たとえ最も単純な脅威であっても、意味を持つ可能性があります。®
