ロシア語を使用するキャンペーンが、Zoom、Google Meet、Skypeの偽のオンライン会議を作成し、WindowsおよびAndroidユーザーの両方に対して様々なマルウェアを拡散している。このキャンペーンは12月に開始され、企業ユーザーにとって新たなサイバーセキュリティの脅威を示している。攻撃者は、共有Webホスティングを使用して偽のオンライン会議サイトを単一のIPアドレス上にホストし、実際のサービスのウェブサイトに酷似した様々なURLを利用している。例えば、Skypeキャンペーンでは「join-skype[.]info」、Google Meetユーザーは「online-cloudmeeting[.]pro」を通じて会議に参加するよう誘導され、Zoomキャンペーンでは「us06webzoomus[.]pro」が使用されている。
攻撃者は、これらの偽サイトを通じて、Android向けのSpyNote RAT、Windows向けのNjRATおよびDCRatなど、広く利用可能なペイロードを配布している。これらのRATは、機密情報の窃取、キーストロークの記録、ファイルの盗難を可能にする。
Skypeキャンペーンでは、WindowsユーザーをSkype8.exe(偽のSkypeダウンロードとして偽装された悪意のある実行ファイル)に誘導し、Google Play経由でリンクをクリックしたユーザーは悪意のあるファイルSkype.apkに誘導される。偽のGoogle Meetサイトは、Android(実際はSpyNote RAT)およびWindows(DCRatペイロードをダウンロードするBATファイル)用の偽のSkypeアプリケーションのダウンロードリンクを提供する。偽のZoomサイトは、Zoomクライアントによって生成された会議IDに酷似したサブパスを含むリンクを提示するという追加のトリックを使用している。
偽のGoogle MeetとZoomのウェブサイトには、NjRATを隠す2つの追加のWindows実行ファイル(driver.exeおよびmeet.exe)が含まれている点でも共通している。
企業が進化するマルウェアの脅威から自身を守るためには、定期的な更新とセキュリティパッチの適用が重要である。これにより、攻撃者がユーザーを侵害するためのエントリーポイントが少なくなる。
【ニュース解説】
最近、Zoom、Google Meet、Skypeといった人気のオンライン会議アプリケーションを装った偽の会議招待を通じて、企業ユーザーを狙ったサイバー攻撃が発生しています。この攻撃は、ロシア語を使用するキャンペーンとして特定され、WindowsおよびAndroidデバイスのユーザーに対して様々なマルウェアを拡散することを目的としています。攻撃者は、実際のオンライン会議サービスのウェブサイトに酷似したURLを使用して偽の会議サイトを設置し、訪問者にマルウェアをダウンロードさせる手口を用いています。
このキャンペーンでは、特にSpyNote RAT、NjRAT、DCRatといったリモートアクセストロイの木馬(RAT)が使用されており、これらのマルウェアは機密情報の窃取、キーストロークの記録、ファイルの盗難などを可能にします。例えば、偽のSkypeキャンペーンでは、ユーザーがダウンロードすることになるSkype8.exeやSkype.apkといったファイルが、実際には悪意のあるペイロードを含んでいます。
このような攻撃は、企業のセキュリティ体制にとって新たな脅威を示しており、企業は従業員に対して警戒を促すとともに、セキュリティ対策を強化する必要があります。具体的には、定期的なソフトウェアの更新とセキュリティパッチの適用が重要です。これにより、攻撃者が利用可能な脆弱性を減らし、侵害のリスクを低減することができます。
また、この攻撃は、オンライン会議ツールの普及に伴うリスクの一例を示しています。テレワークやリモートワークが増加する中で、企業は従業員に対してオンラインでのセキュリティ意識を高める教育を行うことも重要です。偽の会議招待やフィッシングメールに対する警戒心を持ち、疑わしいリンクやファイルのダウンロードは避けるべきです。
この攻撃キャンペーンは、サイバーセキュリティの脅威が常に進化していることを示しており、企業は最新の脅威に対して常に警戒し、適切な対策を講じる必要があります。サイバーセキュリティは、単に技術的な問題ではなく、組織全体の取り組みが求められる課題であることを忘れてはなりません。
from Spoofed Zoom, Google & Skype Meetings Spread Corporate RATs.
