Trend Microは10月12日(米国時間)、「DarkGate Opens Organizations for Attack via Skype, Teams」において、メッセージングプラットフォームのSkypeとMicrosoft Teamsを悪用してマルウェア「DarkGate」を配布する進行中のサイバー攻撃のキャンペーンを確認したとして、注意を呼び掛けた。
-
DarkGate Opens Organizations for Attack via Skype, Teams
Trend Microにより、インスタントメッセージングプラットフォームが悪用され、悪意のあるVBAローダスクリプトが配布されたことが観察された。この攻撃では被害者に信頼されているインスタントメッセージングのアカウントが悪用されているが、このアカウントがどのように侵害されたかはわかっていない。推測としてダークWebなどの地下フォーラムを通じて入手した認証情報や、過去の侵害時に入手した情報が使用されたものと考えられている。
Trend Microはこの攻撃において、SkypeやTeamsを悪用するケースを観察したという。Skypeを悪用したケースでは、2つの組織間の信頼関係を悪用して受信者をだまし、悪意のあるVBAローダスクリプトを実行させたと考えられている。このVBAローダスクリプトは「ファイル名.pdf [長いスペース] www.skype[.]vbs」というファイル名になっており、受信者はPDFファイルと錯覚して実行したとみられている。このVBAローダスクリプトは次の図のとおり、いくつかの処理を経てAutoitを実行し、DarkGateを含むマルウェアをインストールする。
-
Skypeを悪用したDarkGateの感染経路 引用:Trend Micro
Trend Microによると、DarkGateは2017年後半に初めて文章化されたコモディティ型のローダだという。2023年5月頃にロシア語のフォーラム「eCrime」で宣伝され、その後DarkGateを使用した攻撃が増加したという。DarkGateの主な機能は次のとおり。
- 検出コマンドの実行
- 自己更新と自己管理
- リモートアクセス(RDPやAnyDeskなど)
- 暗号通貨マイニング
- キーロギング
- ブラウザの情報窃取
- 権限昇格
- Autoitを使用した悪意のある機能の提供
Trend Microは今回観察した攻撃について、外部メッセージングが許可されているか、または侵害されたアカウントによる信頼関係の悪用がチェックされていない限り、あらゆるインスタントメッセージングアプリに対して実行できるとして注意を促している。また、対策として多要素認証(MFA: Multi-Factor Authentication)の導入を強く推奨している。この攻撃は初期アクセスに不正に入手した認証情報を悪用しているため、多要素認証を導入してアカウントを保護することで攻撃を防止できる可能性があるとされる。
加えて、この攻撃では従業員をだまして悪意のあるコードを実行させる手段が用いられている。このような攻撃を防止するには、リアルタイムの監視、検出機能を持つセキュリティソリューションの導入と、従業員がだまされないように最新のソーシャルエンジニアリング手法に関する教育を定期的に行うことが推奨される。今回のケースでは信頼関係が悪用されており、信頼しているユーザーからのメッセージに対しても警戒を怠ることなく対応できるように教育することが望まれている。
