Proofpointはこのほど、「Screentime: Sometimes It Feels Like Somebody's Watching Me|Proofpoint US」において、主に米国およびドイツの組織をターゲットにしたサイバー攻撃が展開されていると伝えた。「Screentime」と名付けられたクラスタが観測されており、「TA866」と呼ばれるサイバー犯罪者グループによる悪意のある活動が報告されている。
-
Screentime: Sometimes It Feels Like Somebody's Watching Me|Proofpoint US
金銭の窃取を動機にマルウェアを配布するキャンペーンが発見されている。この活動は2022年10月に開始され、不正な添付ファイル付きの電子メールを介したフィッシング攻撃によって展開されたことが確認されている。
-
Overall attack chain showing the scripts, tools and malware involved.|Proofpoint US
添付ファイルにはマクロが組み込まれたMicrosoft Publisherファイルまたはそのリンク、JavaScriptファイルへのリンクまたはJavaScriptファイルへのリンクを含んだPDFなどさまざまな形式が使われており、独自ではなく、他の脅威者から購入したものである可能性が高いとみられている。
添付ファイルまたはリンクをクリックしてしまった場合、「WasabiSeed」と呼ばれるVBScriptを実行するMSIパッケージがダウンロードされ、WasabiSeedにより「Screenshotter」と呼ばれるマルウェアがリモートサーバからダウンロードされてしまう。Screenshotterは被害者のデスクトップ画面を定期的にスクリーンショットをとり、その画像データをコマンド&コントロール(C2: Command and Control)サーバに送信するツールであることが判明している。
Proofpointはキャンペーンを展開しているTA866について、カスタムツールの利用や他のベンダからツールやサービスを購入する能力およびコネクションを有することなどから、よく考えられたサイバー攻撃を大規模に実行できる組織的なサイバー犯罪者グループであると指摘。このような脅威から身を守るために、組織はユーザーにサイバーセキュリティの教育を実施するとともに、疑わしい電子メールや活動を報告するようユーザに奨励する必要があると伝えている。
