トレンドマイクロはメッセージングプラットフォームの「Skype」と「Microsoft Teams」を悪用して、マルウェア『DarkGate』を配布する進行中のサイバー攻撃のキャンペーンを確認したとして、注意を呼びかけました。

参照：TECH＋ マイナビニュース

■侵害方法不明

トレンドマイクロより、インスタントメッセージングプラットフォームが悪用され、悪意のあるVBAローダスクリプトが配布されたことが観測されています。

この攻撃では被害者に信頼されているインスタントメッセージングのアカウントが悪用されていますが、このアカウントがどのように侵害されたかわかっていません。

推測として、ダークウェブなどの地下フォーラムを通じて入手した認証情報や、過去の侵害時に入手した情報が使用されたものと考えられています。

Skypeを悪用したケースでは、2つの組織間の信頼関係を悪用して、受信者を騙し悪意あるVBAローダスクリプトを実行させたと考えられています。

このVBAローダスクリプトは「ファイル名.pdf[長いスペース]www.skype[.]vbs」というファイル名になっており、受信者はPDFファイルと錯覚して実行したとみられています。

このVBAローダスクリプトは、いくつかの処理を経てAutoitを実行し、DarkGateを含むマルウェアをインストールします。

■DarkGateの主な機能

トレンドマイクロによると、DarkGateは2017年後半に初めて文章化されたコモディティ型のローダだといいます。

2023年5月頃にロシア語のフォーラム「eCrime」で宣伝され、その後DarkGateを使用した攻撃が増加したようです。

DarkGateの主な機能は次の通りです。

・検出コマンドの実行
・自己更新と自己管理
・リモートアクセス（RDPやAnyDeskなど）
・暗号通貨マイニング
・キーロギング
・ブラウザの情報搾取
・権限昇格
・Autoitを使用した悪意のある機能の提供

今回観察した攻撃について、外部メッセージングが許可されているか、または侵害されたアカウントによる信頼関係の悪用がチェックされていない限り、あらゆるインスタントメッセージングアプリに対して実行できるとして注意を促しています。

対策として、多要素認証の導入や、リアルタイム監視と検出機能を持つセキュリティソリューションの導入、最新のソーシャルエンジニアリング手法に関する教育を定期的に行うことなどが推奨されています。

リモート業務などを行うことが増えてきた昨今、SkypeやTeamsなどを使用する機会も前より増えた方も多いと思います。
そういったところからも攻撃を受ける可能性があるということを知っておき、小さな対策から怠らないようにしていきましょう！

★-------------------------------------------★
【アルテミスBP　パートナー様募集！】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の１つです！

⇒　専用ページはこちら
★-------------------------------------------★