トレンドマイクロの研究者は、「Water Curupira」として知られるサイバー攻撃組織が、フィッシングキャンペーンを広範に実行し、マルウェアダウンローダー「Pikabot」を配信していると警告しています。
トレンドマイクロの研究者は、Pikabotについて説明しています。「Pikabotのオペレーターはフィッシングキャンペーンを実行し、ダウンローダーとコアモジュールの2つのコンポーネントを使用して標的ユーザーを攻撃しています。これらのコンポーネントは、不正なリモートアクセスを可能にし、攻撃者が管理するコマンドアンドコントロールサーバーとの通信を確立して、任意のコード実行を可能にします。Pikabotは、同じファイル内にダウンローダーとコアモジュールを実装し、そのリソースから別のDLLファイルを復号するシェルコード(実際のペイロード)を持つ、高度な多段階型マルウェアです。」
Pikabotは、Black Bastaランサムウェアなど、さまざまな系統のマルウェアをインストールするために使用されます。
この研究者は次のように述べています。「一般的に、Water CurupiraはCobalt Strikeのようなバックドアを展開するためのキャンペーンを実施しており、バックドアが展開されるとBlack Bastaランサムウェアの攻撃を受ける恐れがあります(奇遇にも、Black Bastaも2023年9月に活動を再開しています)。このサイバー攻撃組織は、2023年第3四半期の最初の数週間にDarkGateスパムキャンペーンと数回のIcedIDキャンペーンを実施しましたが、それ以降はPikabotだけを展開するように切り替えています。」
あるメールアカウントを最初に侵害すると、攻撃者はメールのスレッドを乗っ取り、別のユーザーを騙して悪意のある添付ファイルを開かせようとします。
この研究者はこの攻撃手法について、次のように説明しています。「これらのメールを送信するサイバー攻撃者は、スレッドハイジャックの手法を悪用しています。これは、サイバー攻撃者が既存のメールのスレッド(過去に侵害したユーザーから盗んだ可能性がある)を利用し、これまでのスレッドへの返信のように見せかけたメールを作成することで、受信者に正規のメールだと信じ込ませる手法です。この手法が使用されると、攻撃を受けたユーザーが悪意のあるリンクや添付ファイルをクリックする可能性が高まります。サイバー攻撃者は、乗っ取りに成功したメールのスレッドで見つけたユーザー名とそのメールアドレスを使って、別のドメインまたは無料のメールサービスによって作成したメールを偽装し、攻撃メールを送信します。攻撃メールは、メールの件名を含め、元のスレッドと同じものですが、受信者にメールの添付ファイルを開くように指示する短いメッセージが文面の最初の方に追加されています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
詳細については、この攻撃に関するトレンドマイクロのブログを参照してください。
原典:Stu Sjouwerman著 2024年1月10日発信 https://blog.knowbe4.com/phishing-spreads-pikabot-malware