MirrorBlastフィッシングキャンペーンは金融機関をターゲットにしています

セキュリティ研究者は、MirrorBlastと呼ばれる進行中のフィッシングキャンペーンを発見しました。このキャンペーンは、金融業界で働く専門家を対象としているようです。

MirrorBlastは、1か月以上前にETLabsの研究チームによって発見されました。このキャンペーンでは、フィッシングメール内の悪意のあるリンクを使用して、研究者が「武器化された」Excelファイルと呼ぶものに被害者を誘導します。

悪意のあるMSOfficeファイルには通常、悪意のある攻撃者が使用するマクロが埋め込まれています。 MirrorBlastの場合も例外ではありません。ほとんどのマルウェア対策スイートには同様の脅威に対する何らかの防御策がありますが、MirrorBlastが使用するExcelファイルを特に危険なものにしているのは、埋め込まれたマクロの性質です。

MirrorBlastファイルで使用されるマクロは、「非常に軽量」と表現されています。これは、彼らが多くのマルウェア対策システムをだまして回避できることを意味します。

Morphisecの研究者は、マルウェアのサンプルを入手し、それを分解しました。 Excelファイルによってトリガーされる感染チェーンは、コードネームTA505 (Graceful Spiderとも呼ばれる)のロシア語の高度な持続的脅威アクターによって使用されるアプローチと攻撃ベクトルを彷彿とさせます。

フィッシングメールに含まれるリンクは、OneDriveディレクトリまたは悪意のあるSharePointページを模倣したページの悪意のある偽のコピーにつながります。結局、被害者は常に武器化されたExcelファイルにアクセスします。

フィッシングキャンペーンで使用されるソーシャルエンジニアリングのルアーは、ある程度予想通り、Covidに焦点を当てています。偽のメッセージは、リストラの取り決めやCovidの状況に関連する職場の変化についての会社のメモのように見えるように調整されています。

多くの人にとって幸運なことに、ファイル内の悪意のあるマクロは、互換性の問題のため、MSOfficeの32ビットインストールでのみ実行できます。悪意のあるマクロ自体は、最初にホストシステム上のサンドボックスをチェックするJavaScriptコードを実行し、次に正規のWindows実行可能ファイルmsiexec.exeを使用してインストーラーパッケージをダウンロードして実行します。

フィッシングミラーブラストキャンペーンの背後にいる疑いのあるエンティティであるTA505は、常に攻撃ベクトルをシフトし、研究者の先を行くアプローチをとっている、金銭的に動機付けられた脅威アクターとして説明されています。