脅威情報機関RiskIQによると、今年初めのWiproフィッシング攻撃の背後にいる犯罪者は、Western Union、Expedia、Rackspace、その他多数の大企業も標的にしていたという。
同社は今朝発表した報告書の中で、ウィプロの攻撃者が、強制的にファイルを暗号化された不運な企業から金銭を搾取することを目的とした、はるかに大規模な一連のフィッシング攻撃を実行していると述べた。
インドのアウトソーシング大手ウィプロは今年初め、同社の電子メールシステムが、ウィプロの顧客を狙う攻撃の足掛かりとして悪意あるハッカーらによって、かなり前から侵害されていたことを発見した。
インドのアウトソーシング大手ウィプロがシステムからフィッシング詐欺師を排除したと発表
続きを読む
RiskIQは、「パッシブDNSとSSL証明書データの両方」を分析し、「攻撃者が所有するインフラの分析に基づいて、少なくとも5つの異なる攻撃キャンペーンを特定した」と述べた。
標的となった企業には、ウエスタンユニオン、マネーグラム、ラックスペース、キャップジェミニ、ウィプロ、ステープルズ、コストコ、エクスペディア、ヴァージンパルス、メッセージラボ、センドグリッドなどが含まれている。
攻撃の背後には、痕跡を隠す方法をある程度知っている、かなり洗練されたグループ* がおり、既製のフィッシング テンプレートを使用してインドのアウトソーシング企業を侵害したほか、他の多くの企業も攻撃したと言われています。
これらのテンプレートは、スイスの侵入テスト会社ルーシー・セキュリティが販売しているフィッシング対策トレーニング製品から抽出されたようだ。ただし、ルーシーはレジスター紙に対し、同社のソフトウェア製品の1つがウィプロの侵害に使用されたことを強く否定している。
RiskIQによると、Lucyのフィッシング対策トレーニング製品のテンプレートは、Wiproの攻撃者が使用したものと全く同じだった。同社はレポートの中で、「Lucyにはさまざまなデフォルトのフィッシングテンプレートが付属しており、これらのテンプレートの1つが、今や悪名高いWiproの事件を含むほとんどのフィッシング攻撃で使用されていた」と述べている。
「テンプレートのデザインを利用した以外に、ハッカーがLucyソフトウェアを使用したという証拠はなく、当社の分析はそれを裏付ける重要な証拠を示しています」と、Lucy Securityの最高経営責任者であるコリン・バスタブル氏は述べています。情報セキュリティジャーナリストのブライアン・クレブス氏の調査を受けてWiproハッキングの背後にいるグループを調査したファイア・アイも、バスタブル氏の見解に同意し、Lucyソフトウェア自体は犯罪者によって使用されていないようだとしています。
FireEyeの戦略サービス担当CTO、チャールズ・カーマカル氏はThe Registerに対し次のように語った。「攻撃者は、ScreenConnect、EMCO Remote Installer、CleverControl、Teramind、Kaseyaなど、被害者の環境にすでに存在している可能性のある公開ツールや市販ツールを頻繁に使用して、持続性を維持し、横方向に攻撃を展開しています。」
PowerShellとMimikatz
RiskIQによると、Wiproへの攻撃は2016年5月に初めて発生し、4つの波に分かれて攻撃を展開しました。主な標的は、デジタルマーケティング会社、IT企業、POS・決済代行会社、ギフトカード会社などのサービス系企業です。その後の攻撃では、同じ企業が再び標的となりましたが、各波で約20~25社の企業がフィッシング攻撃の被害に遭いました。
これらのフィッシング ページは、わずか数日間しかオンラインに存在していませんでした。これは、標的の被害者がページを見るには十分な長さですが、攻撃者は検出と削除を逃れるには十分な短さだと期待していました。
フィッシング詐欺で標的企業に侵入した攻撃者は、ScreenconnectリモートコントロールツールとEMCOリモートインストーラーを導入して使用しました。標的企業のマシンにScreenconnectがインストールされると、ハッカーは「侵入したマシン上のScreenConnect製品名を変更する小さなPowerShellスクリプト」を実行しました。
犯罪者たちが「Babysharkpro」と名付けたこのPowerShellスクリプトは、メモリ内でカスタムビルドのMimikatzを実行し、そのデバイスに最近ログインしたユーザーの認証情報をダンプします。Mimikatzは現在、ブラックハットの間でかなり人気があり、世界中の多くの通信事業者が最近、身をもってその実力を思い知りました。
「カスタムコンパイルされたという事実が、このサンプルを興味深いものにしています。メモリ内でのみ実行されるため、ファイルシステムにヒットすることはありません」とRiskIQはコメントしています。
RiskIQ のこれまでの調査には、ブリティッシュ エアウェイズのハッキング (航空会社のクレジットカード支払いページの JS が侵害された) に関するもっともらしい説明や、Magecart マルウェアを使用した悪意のある人物の詳細な追跡が含まれています。®
ブートノート
* RiskIQは、ランサムウェアのコマンド&コントロールインフラの初期バージョンをホストするために使用されていたドメインにリンクされたWhoisレコードから特定したと思われる2人の人物の名前を公表しましたが、El Regはそれらの名前や詳細を公表しないことに決めました。結局のところ、それらの個人情報自体が犯罪者によって盗まれたものではないことを示す証拠はほとんどないのです。
