インターネットは常に奇妙な空間であることはみなさんもご存じの通り。世界中のサイバー犯罪者たちは、日々おかしな行為に手を染めています。しかし、ここ数週間、プルーフポイントのリサーチャーが遭遇したソーシャルエンジニアリングの攻撃キャンペーンは、通常のレベルをはるかに超えたへんてこなものでした。
火星行きのチケット
ほんの数年前、宇宙旅行実現に向けてのカウントダウンが始まりました。一般の人でも軌道を周り、宇宙に行く時代がすぐそこまで来ており、NASAが月面に基地を建設する日も近いと思われていました。しかしいくつかの苦い経験があったために、今のところ宇宙は宇宙飛行士や科学者、大金持ちだけのものとなっています。しかし、「go big or go home(大胆にやれ、さもなければ家に帰れ/中途半端にやってもしょうがない)」の原則に従い、最近の悪質なメール攻撃キャンペーンでは、軌道下宇宙飛行や月への訪問だけに留まらず、火星への旅行を受信者に約束しています。
「火星旅行が当たります」という件名のメッセージには、最近のイーロン・マスクの伝記の表紙画像とAdobe Readerのアップデートダイアログを偽装したPDFが含まれていました。偽の画像のダウンロードボタンは、最終的にRedlineスティーラーをダウンロードする実行ファイルを含むtar.gzファイルにリンクしていました。
興味深いキャンペーンのタイミング:Windows 11でこのファイルタイプのネイティブサポートが始まったのは2023年10月
時おり、攻撃者は到底人が引っかかるとは思えないような、あり得ない誘い文句を思いつきます。しかし、彼らの狂気には理由があります。受信者によっては、好奇心を駆られる効果的な誘い文句になってしまうのです。ソーシャルエンジニアリングの目的は、被害者側に攻撃者の望むこと(この場合はダウンロードリンクをクリックすること)をさせることです。つまりメールの受信者が、本当に火星旅行が当たると信じなかったとしても、なぜそのようなオファーがあるのか知りたいと思ってクリックすればよいだけなのです。
カスタマーサービスへの苦情
誰にでも嫌な日はありますが、ソーシャルメディアの登場によって、顧客からの苦情はまるでスポーツ観戦のようになってしまいました。この少量の攻撃キャンペーンでは、アトリビューション(攻撃者の特定)がされていない攻撃者により、怒っているお客様とされる「Daniel Rodriguez(ダニエル・ロドリゲス)」または「Emma Grace(エマ・グレース)」からのものと見せかけたメッセージが配信されました。そのメッセージによると、ダニエルとエマは、自分たちが受けたサービスに対して非常に憤慨しており、単に苦情のメールを送るだけでなく、詳細については「Attitude_reports.svg (対応に関するレポート)」という添付ファイルに記載したというメッセージでした。
SVGとはScalable Vector Graphics(スケーラブル ベクター グラフィックス)の拡張子で画像に使われるもののため、通常このファイルに文章が記載されていることはありえません。しかしメールを受け取った受信者が良心に基づいて、苦情に対応しようと、その添付ファイルをダウンロードしてしまうと侵害されてしまいます。
このSVGファイルはブラウザで開かれ、Phemedrone スティーラーマルウェアの感染につながる複雑な攻撃を開始しました。この攻撃チェーンは、CVE-2023-38831が使用されており、またMicrosoftがインターネットからダウンロードしたファイルのマクロを規定でブロックすることをおこなった後に、マクロの代替の感染手段としてSVGファイルの使用が増加していることを示す例として注目されました。
ウクライナからウズベキスタンへ
ロシアとウクライナの紛争は、この地域全体に混乱を引き起こすだけでなく、世界のサイバー犯罪者にも影響を与えています。最近の攻撃キャンペーンでは、ウクライナでの品物の配達が困難であることを口実に、“ウズベキスタンのパートナーに代わって配達します”という内容で、ヨーロッパ中の企業を標的にしようとしている攻撃者がいることをプルーフポイントのリサーチャーが確認しました。
このメッセージには、PDFの添付ファイルを偽装したハイパーリンク画像が含まれていました。この画像をクリックした被害者は、MediaFireのURLに誘導され、最終的にAgentTeslaの感染につながる攻撃チェーンを引き起こしました。
プルーフポイントの脅威リサーチャーからのさらなる洞察については、今後もThreat Insightsブログより発信いたします。是非ご覧ください。