IBMのX-Forceのリサーチャーは、犯罪グループ「Hive0145」によるフィッシングキャンペーンを追跡しています。このキャンペーンでは、請求書を詐取・悪用して、ユーザーを騙しマルウェアをインストールさせる手口が使用されています。
Hive0145は初期アクセスブローカーとして活動しており、侵害した組織へのアクセスを他の攻撃者に提供し、さらなるサイバー攻撃を引き起こしています。
X-Forceのリサーチャーはこれらの攻撃について次のように説明しています。
「過去1年間でHive0145は、ヨーロッパ全域の組織を標的とするために、戦術、技術、手法(TTP)を進化させてきました。イタリア、スペイン、ドイツ、ウクライナの被害者は、悪質な添付ファイルを受信し、そのファイルを開くように仕向けられます。このキャンペーンでは、多くの場合、被害者に緊急に対応するように促すメッセージが添えられた偽の請求書や領収書が送信されます。添付されたファイルを開くと、被害者は気づかないうちに、「Strela Stealer」と呼ばれるマルウェアを実行してしまいます。」
特に注意すべき点は、攻撃者が実際に詐取した請求書を悪用して、フィッシングメールの信憑性を高めていることです。
X-Forceのリサーチャーは次のように述べています。
「2024年7月、Hive0145が配信するメールの内容が、簡易で一般的なメッセージから、正規の内容が含まれるように見える不正なメールに変更されていることが確認されました。これらのフィッシングメールは、正規の請求通知メールと完全に一致しており、正規メールに記載されていた受信者に直接送られていたケースもありました。また、X-Forceは、これらのメールが金融、テクノロジー、製造、メディア、eコマースなど、多岐にわたる業界の正規の請求通知であることを確認しています。このグループは以前のキャンペーンで詐取した認証情報を使用し、これらのメールを入手した可能性が高いと考えられます。」
Strela Stealerは、メールの認証情報を詐取するために設計されたマルウェアです。X-Forceは、攻撃者がこれらの認証情報を悪用し、標的となる組織でビジネスメール詐欺(BEC)攻撃を展開する可能性が高いことを指摘しています。
X-Forceのリサーチャーは次のようにまとめています。
「Hive0145が詐取したメールを使用して添付ファイルを配信していることは、詐取された認証情報の一部が、正規メールを大量に収集する目的で悪用されており、それらのメールがその後でさらに悪用されていることを示しています。詐取されたメールやHive0145が作成したメールのほとんどは請求書関連のメールであり、金銭を目的としていることが示しています。また、詐取されたメールは、他のサイバー攻撃者に販売され、さらなるビジネスメール詐欺が実施されている可能性も考えられます。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、SecurityIntelligenceの記事を参照してください。
原典:Stu Sjouwerman著 2024年11月13日発信 https://blog.knowbe4.com/criminal-threat-actor-uses-stolen-invoices-to-distribute-malware