1月末、攻撃者達は新型コロナウイルスへの注意喚起を装った悪意のある健康情報メールを、日本語話者を狙って送信しました。そして今週Proofpointの研究者は、グローバルな物流の中断に関する懸念を煽るために新型コロナウイルスをテーマにした新しい電子メール攻撃を発見しました。この最新の攻撃では、攻撃者は製造業、工業、金融、輸送、製薬、化粧品などの、物流が混乱した場合の影響を特に受けやすい業界を(この順序で)集中的に狙っています。
この新型コロナウイルスをテーマにした電子メールキャンペーンは、標的こそ絞られているものの、悪意のあるMicrosoft Wordドキュメントを使って2年半も前の脆弱性を悪用し、情報を盗むマルウェアであるAZORultをインストールすることから、攻撃を仕掛けているのはロシアと東ヨーロッパからのアクターであるように見えます。特定のAPTグループには属していませんが、新型コロナウイルスに関連する経済的懸念を明確に理解しています。新型コロナウイルスに関連するテーマと添付ファイルを含むすべてのメールは、健康問題に直接関係していないように見える場合でも、慎重に取り扱う必要があります。
新型コロナウイルスによる物流の混乱は上記のような業界に悪影響を及ぼしますが、これらの攻撃者は新型コロナウイルスのようなイベントが産業に二次的な影響を与えることも十分に認識しています。この認識力の高さは、技術的な洗練度だけでなく、経済的な洗練度が高いことを示しています。新型コロナウイルスについては、健康上の懸念に加えて、潜在的な経済的および国際的なサプライチェーンへの影響について、世界中で懸念が高まっています。
以下は、この標的型メールキャンペーンで使われたルアーの例です:
図1新型コロナウイルスをテーマにした海運業界向けのルアー
添付されたMicrosoft Wordドキュメントは、Microsoft Officeの数式エディタを使う2年半前の脆弱性(CVE-2017-11882)を悪用しようとします。この脆弱性は過去2年半にわたり、複数の攻撃で複数の攻撃者によって、悪意のあるドキュメントに使用されてきました。このキャンペーンでそれが使用されたことは、この手法が他の攻撃で実証済みであることと、ターゲットとする業界ではパッチの適用が遅いだろうという攻撃者の考えを反映していると考えることができます。
ドキュメントを開くと、少なくとも2016年から存在が確認されている情報スティーラー「AZORult」がインストールされます。2018年後半には、AZORultがランサムウェアによるセクストーション詐欺で使用されたことも確認されました。これらの攻撃ではAZORultはランサムウェアをダウンロードしていませんが、AZORultは構成変更が可能であり、過去にランサムウェアと組み合わせられた実績があることから、現在でも注意すべき現実の脅威となっています。
この最新の攻撃でわかることは、グローバルな物流に懸念を持つ組織は、新型コロナウイルスをテーマにした電子メールに特に注意を払う必要があるということです。攻撃者が物流関連の懸念を餌として利用しようとしていることが明らかなため、人や組織は、新型コロナウイルスに関連する電子メール、リンク、またはWebサイトについて、細心の注意を払う必要があります。