「Googleスプレッドシートを悪用、税務署偽るフィッシングメールに警戒を」
Proofpointは8月29日(米国時間)、「The Malware That Must Not Be Named: Suspected Espionage Campaign Delivers “Voldemort”|Proofpoint US」において、マルウェアのコマンド&コントロール(C2: Command and Control)にGoogleスプレッドシートを悪用する新しいサイバー攻撃を発見したと伝えました。
この攻撃では、ヨーロッパ、アジア、米国の税務当局を装い、世界中の数十の組織にフィッシングメールを送信したそうです。
https://news.mynavi.jp/techplus/article/20240902-3016958/
出典:TECH+
<侵害の経路>
初期アクセスは、標的組織が存在する所在国の税務当局になりすましたフィッシングメールとみられます。攻撃は2024年8月5日頃から確認され、20,000以上のメールが世界中の70を超える組織に送信されました。
Proofpointの調査では米国、英国、フランス、ドイツ、イタリア、インド、日本の税務当局になりすましたことが確認されています。また、メールは対象国の言語で記述されていたそうです。
search-msプロトコルにアクセスすると、Windows検索を実行するためエクスプローラーの起動確認が行われます。ユーザーが許可するとエクスプローラーに悪意のあるLNKファイルが表示されます。このとき、エクスプローラーはローカルのDownloadsフォルダーのような表示をするが、実際はリモートのWebDAV共有フォルダーを表示します。
PDFファイルに偽装したLNKファイルを実行すると、PowerShellスクリプトが実行されます。PowerShellスクリプトはWebDAV共有上に存在するPythonを悪用して、悪意のあるPythonスクリプトを実行します。Pythonスクリプトはシステム情報などを窃取すると、おとりのPDFファイルを表示し、複数の処理を経て最終的にマルウェア「Voldemort」を実行します。
<マルウェア「Voldemort」の特徴>
最終的に展開されるマルウェア「Voldemort」は情報窃取機能を持つバックドアとされます。コマンド&コントロールとデータ送信にGoogleスプレッドシートを悪用します。
主な機能は次のとおり。
・ネットワーク情報の窃取
・ユーザー情報の窃取
・「Program Files」および「Program Files (x86)」の一覧の窃取
・環境変数の窃取
・ファイルのアップロードおよびダウンロード
・コマンドの実行
・ファイルの操作
<対策>
Proofpointはこの手の攻撃を回避するために、外部ファイル共有サービスへのアクセスをホワイトリスト方式で制限することや、必要のないTryCloudflareへの接続をブロックすることを推奨しています。また、この攻撃の初期アクセスがフィッシングメールだったことから、フィッシング対策のベストプラクティスを実践することが望まれています。
ハリー〇ッターに登場しそうな名前のマルウェアですね。すでに先月から日本にも入り込んでいるようです。
スプレッドシートを悪用とのタイトルがあるので、スプレッドシートのデータを抜き取られるのかと思いきや、PCのデータをスプレッドシート形式にして送信されてしまう模様です。
対策にも記載されていますが、外部ファイル共有サービスへのアクセス制限を設定する等の対策も必要かもしれません。
ただ、きっかけはフィッシングメールであり、他の脅威と対策は変わりありません。
不審なメールには引き続き充分ご注意ください。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★