フィッシングキャンペーンで悪用されたMSExchangeサーバー

新しいキャンペーンは、 IcedIDバンキング型トロイの木馬を積極的に広めています。今回、攻撃者は、マルウェアを拡散するために以前に侵害したMicrosoftExchangeサーバーを使用しています。

このキャンペーンでは、フィッシングメールを使用しており、有効で信頼できるソースから発信されたように見せかけ、感染に成功したメールのコンバージョン率を高めています。

ハッカーは新しい回避方法を試します

現在のキャンペーンは、警備会社Intezerの研究者チームによって発見されました。表面的には、キャンペーンの背後にいるハッカーは劇的に革新的なことを何もしていないようです。古いフィッシングキャンペーンは、以前に侵害された電子メールアカウントを使用してフィッシングメールを送信することに依存しており、メッセージに誤った正当性を追加していました。

ただし、今回は、ターゲットへの究極のトロイの木馬ペイロードの配信を成功させる可能性をさらに高める新しい回避戦術を追加しました。

ハッカーは、Microsoft Exchangeメールサーバーを使用してフィッシングメールを送信し、悪意のある電子メールを排除しています。ただし、実際のペイロードに関しては、回避の追加レイヤーも採用しています。

たとえば、フィッシングキャンペーンが長年にわたって行ってきたように、悪意のあるコンテンツをOfficeドキュメントに配置する代わりに、悪意のあるマクロをMS Officeファイル内に隠すようになり、ハッカーはアーカイブファイルとディスクイメージの使用に移行しました。これにより、MSOfficeとWindowsの両方で「Mark-of-the-web」またはMOTWと呼ばれる統合された保護メカニズムをバイパスできます。 MOTWには、Officeアプリケーションで保護されたビューでファイルを開くなど、Webからダウンロードされたファイルに関する特定の防止策が含まれています。

ただし、アーカイブファイルと.isoディスクイメージを使用すると、ハッカーはこの保護レイヤーを回避できます。これらのファイルタイプにはMOTWのフラグが付けられますが、その中に含まれるファイルにはフラグが付けられない場合があります。

IcedIDを広めるために使用されるフィッシングメールは、「スレッドハイジャック」と呼ばれるものを使用します。つまり、被害者と侵害されたアカウント間の既存のチェーンメールを使用します。これにより、ルアーの信頼性が高まります。

ペイロードがデプロイされたら、通常どおりビジネス

電子メールには、パスワードで保護されたアーカイブファイルが添付されています。パスワードはメールに記載されています。アーカイブには.isoディスクイメージファイルが含まれており、このファイルにはmain.dllファイルとショートカットdocument.lnkファイルが含まれています。 「ドキュメント」を開こうとすると、被害者のシステムにペイロードが展開され、main.dllファイルを使用してシステムが侵害されます。

攻撃チェーンの進化に伴い、同様の脅威から安全を保つことは、堅牢なセキュリティプロトコルだけでなく、個人の認識と重大な人的エラーの回避にもつながります。