btzgrp
  • Microsoft Zune HDポータブルメディアプレーヤーが発表 - TechRepublic
Headlines

TA473からのフィッシング攻撃、米国とNATO関係者を標的に | TechRepublic

05 mins
TA473からのフィッシング攻撃、米国とNATO関係者を標的に | TechRepublic
フィッシングを表すキーボード上のフック。
画像: ronstik/Adobe Stock

Proofpointの最新レポートによると、2022年後半、脅威アクターTA473が米国の公選職者や職員、そして欧州の政治経済の専門家を標的にしていたことが示されています。Proofpointはまた、「ソーシャルエンジニアリングによるルアー攻撃やなりすまし組織は、武力紛争の文脈においてウクライナに関連することが多い」と述べ、NATO加盟国の政府機関のメールボックスが欧州で標的にされたと指摘しています。

参照: セキュリティリスク評価チェックリスト (TechRepublic Premium)

TA473 による以前のフィッシング キャンペーンでは、ポーランドの政府機関、ウクライナとイタリアの外務省、インド政府内の個人が標的にされていました。

ジャンプ先:

  • TA473って誰ですか?
  • TA473のフィッシングキャンペーンの仕組み
  • TA473がZimbraの脆弱性を悪用する方法
  • このセキュリティ脅威から身を守る方法

TA473って誰ですか?

TA473 は 2021 年から知られている脅威アクターであり、ベラルーシとロシアの利益に反する複数の国を標的にしています。このグループは、一部のセキュリティ企業や政府機関からは Winter Vivern としても知られています。

確証のある証拠はないものの、脅威アクターがロシア出身であるという説を裏付ける要素がいくつかあります。例えば、マルウェアのサンプルや文書でロシア語が使用されていたことが漏洩しています。この漏洩に加え、TA473がロシアの利益と頻繁に連携していることから、脅威アクターがロシア出身である可能性は十分に考えられます。

脅威アクターは主にフィッシングキャンペーンを作成し、ペイロードを配信して認証情報を収集します。ペイロードは多くの場合、インターネットに接続されたウェブメールサービスの脆弱性を狙っており、攻撃者がメールメールボックスにアクセスできるようにします。

このグループは、攻撃の一部を自動化するツールを開発するのではなく、標的のウェブメール ポータル用のカスタム ペイロードを使用して特定のエンティティを侵害するために時間とリソースを投資します。

TA473のフィッシングキャンペーンの仕組み

TA473は、多くの場合、パッチ未適用または安全でないWordPressホストドメインから、侵害されたメールアドレスからメールを送信します。メールには、標的組織または関連する同業組織からの無害なURLが含まれており、送信元メールはあたかも標的組織から送信されたかのように偽装されています。そして、この無害なURLにハイパーリンクを張ることで、第一段階のペイロードを配信するか、攻撃者が管理または侵害したインフラストラクチャを持つ認証情報収集ランディングページに被害者をリダイレクトします(図A)

図A

偽装した送信者がハイパーリンク付きの URL を電子メールでユーザーに送信しているスクリーンショット。
TA473フィッシングメールのサンプル。画像:Proofpoint

場合によっては、TA473 は、標的の個人のハッシュ値、標的の組織のエンコードされていない表示、および標的への最初の電子メールでハイパーリンクされていた無害な URL のエンコードされたバージョンまたはプレーンテキスト バージョンを示す構造化 URI パスを使用します。

TA473がZimbraの脆弱性を悪用する方法

2023年初頭、脅威アクターは、インターネットアクセス可能なウェブメールポータルのホスティングによく利用されていたZimbra Collaborationバージョン9.0.0の既知の脆弱性を悪用し始めました。この脆弱性を悪用するために、フィッシングメール内の悪意のあるリンクは、16進数でエンコードされたJavaScriptスニペットをZimbraソフトウェアに送信し、エラーパラメータとして実行します(図B)

図B

TA473 ハッカーが使用する URL 形式のサンプル。
TA473がCVE-2022-27926を悪用するために使用したサンプルURL形式。画像:Proofpoint

JavaScript スニペットがデコードされると、次の段階のペイロードがダウンロードされ、クロスサイト リクエスト フォージェリがトリガーされて、悪意のあるリンクをクリックしたユーザーからユーザー名、パスワード、CSRF トークンが盗まれます(図 C)

図C

TA473 の感染スキームを段階的に説明した図。
TA473感染スキーム。画像:Proofpoint

TA473 攻撃者が使用する JavaScript は、アクティブなトークンを使用して正規の電子メール ポータルにログインしようとします。

Proofpoint は、脅威アクターが特定の RoundCube ウェブメール リクエスト トークンもターゲットにすることがあることを観察しました。これは、脅威アクターが攻撃前にすでにターゲットの偵察を行っていたことを明らかにしています。

このセキュリティ脅威から身を守る方法

  1. Zimbra Collaboration にパッチを適用すると、攻撃者が CVE-2022-27926 の脆弱性を悪用するのを防ぐことができます。
  2. ウェブポータルなどのインターネット接続サービスでは、多要素認証が有効になっていることを確認してください。攻撃者が有効な認証情報を所有していても、それを利用できない可能性があります。また、強力なパスワードポリシーの適用も必要です。
  3. ウェブメール ポータルがインターネットに面している場合でも、企業の VPN 接続からのみアクセスできるように、ネットワーク ポリシーを設定します。
  4. 攻撃者が使用する可能性のあるフィッシングの脅威やソーシャル エンジニアリングのトリックについてユーザーを教育します。
  5. オペレーティング システムとソフトウェアを最新の状態に維持し、パッチを適用してください。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News