Trellixのリサーチャーは、世界中のCFO(最高財務責任者)を標的としたスピアフィッシングキャンペーンを確認したと発表しました。この攻撃では、標的となるユーザーの端末にリモートアクセスツールをインストールさせ、端末への侵入を狙っています。
リサーチャーは次のように説明しています。「5月15日、Trellixのメールセキュリティ製品が、銀行、エネルギー企業、保険会社、投資会社などのCFOや財務幹部を標的とするスピアフィッシング攻撃を検知しました。攻撃の対象地域は、ヨーロッパ、アフリカ、カナダ、中東、南アジアに及んでいます。」
「この攻撃は複数段階で行われているフィッシングオペレーションで、最終的にはWireGuardベースの正規リモートアクセスツール「NetBird」を被害者の端末にインストールすることが目的とされています。近年、攻撃者はこのようなリモートアクセスツールを使って、ネットワークへの侵入を試みる手口を多用しています。」
今回のフィッシングメールは、金融大手「Rothschild & Co」からの求人を装っており、PDFファイルに見せかけた悪質なリンクが含まれています。
「攻撃の流れは、Rothschild & Coのリクルーターを名乗る人物からの『戦略的な求人のご案内』というメールから始まります。添付されたパンフレットはPDFではなく、Firebase上にホストされたページで、カスタムCAPTCHAによる数学問題が表示されます。問題を解くと、ZIPファイル(Rothschild_&_Co-6745763.zip)がダウンロードされ、中にはVBSスクリプトが含まれています。このスクリプトを実行すると、さらに2つのVBSスクリプトがダウンロードされ、NetBirdとOpenSSHという2つのMSIパッケージがインストールされます。さらに、隠れたローカルアドミンアカウントが作成され、RDP(リモートデスクトップ接続)が有効化されます。これらが実行されると、攻撃者に暗号化されたリモートアクセスを与えてしまいます。」
Trellixは、この攻撃について「高度かつ標的を絞った、見抜きづらい手口であり、セキュリティ技術や人の目をかいくぐることを意図している」と指摘しています。また、被害を防ぐために以下の対策を推奨しています。
- 見知らぬ相手から届いた求人メールには懐疑的な姿勢を取りましょう。ZIPファイルや不明なリンクが含まれている場合は特に注意が必要です
- ダウンロードしたファイルに対して、セキュリティ警告を無視してコンテンツやスクリプトを有効にしないようにしましょう
- 無害に見えるメールでも、不審な連絡があった場合はすぐに社内のセキュリティチームに報告してください。早期の報告が、被害拡大を防ぐ鍵となります
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Trellixの記事を参照してください。
原典:KnowBe4 Team著 2025年6月9日発信 https://blog.knowbe4.com/spear-phishing-campaign-targets-financial-executives