Morphisecのリサーチャーによると、攻撃者がMicrosoft Teamsの通話機能を悪用し、ユーザーに「Matanbuchus」と呼ばれるマルウェアローダーをインストールするように誘導する事例が確認されています。Matanbuchusは、感染したWindows端末に追加ペイロードの展開が可能になるMalware-as-a-Service(マルウェア・アズ・ア・サービス、MaaS)です。
Morphisecは次のように説明しています。「過去9ヶ月にわたり、Matanbuchusは特定の組織や担当者を狙ったキャンペーンで使用され、ランサムウェア被害につながった可能性があります。」
「2025年7月の事例では、攻撃者がMicrosoft Teamsの外部通話でITヘルプデスクを名乗り、従業員に接触しました。攻撃者は、通話中にQuick Assistを起動させ、Matanbuchus Loaderを展開するスクリプトの実行を指示しています。あわせて、Matanbuchus 3.0が新たに公開され、機能が大幅に更新されているため、危険度が増しています。」
攻撃者はソーシャルエンジニアリングで従業員を誘導し、悪意あるファイルのダウンロードと実行に至らせ、最終的にマルウェアをインストールさせます。
リサーチャーは次のように述べています。「被害者は慎重に選定され、アーカイブのダウンロードを開始するスクリプトを実行するよう説得されます。このアーカイブには、名称を変更したNotepad++のアップデーター(GUP)、改変された設定用XMLファイル、そしてMatanbuchusローダーとなる不正なサイドロードDLLが含まれています。2024年9月の過去のキャンペーンでは、最終的に同様のNotepad++アップデーターのサイドロード実行に至るMSIインストーラーがダウンロードされていました。」
マルウェアがインストールされると、痕跡を最小限にしながら端末内にとどまり続ける永続化の仕組みを作ります。
Morphisecは次のように説明しています。「Matanbuchusは、継続的に攻撃者のサーバーへ通信するための仕組みを作り出す必要があり、現在はタスクスケジューリングによって実現されます。単純に聞こえますが、開発者はCOMとシェルコードの使用といった高度な手法でタスクスケジューリングを実装しています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。また、万が一の事態に備えるための実践的なガイドとして、ランサムウェア救出マニュアルも提供しています。
詳細については、Morphisecの記事を参照してください。
原典:KnowBe4 Team著 2025年8月4日発信 https://blog.knowbe4.com/how-hackers-exploit-microsoft-teams-in-social-engineering-attacks