この月初め、サイバー犯罪者が法律事務所になりすまし、複数の企業をだまして初期アクセスマルウェアをダウンロードさせた。この犯罪グループは「Narwhal Spider」(別名TA544、Storm-0302)としてBlueVoyantによって追跡されており、2017年以降に遡る財務目的のキャンペーンで知られている。最近では、Windows SmartScreenの1日の脆弱性を悪用していた。
3月7日には、法律サービスの請求書に見せかけたPDF内に隠された初期アクセスマルウェアを含む、瞬時に広範囲にわたるフィッシング攻撃を実施した。このキャンペーンで使用されたWordPressサイトは、WikiLoaderに関連するドメインを使用しており、WikiLoaderは分析を回避する技術で知られ、特にWikipediaへのHTTPSリクエストを送信してインターネット接続デバイスか孤立したサンドボックス環境かを判断するトリックで有名である。
今回のキャンペーンでは、バンキングトロイの木馬/ローダーであるIcedIDが後続のペイロードである可能性が示唆されている。Narwhal Spiderは歴史的にイタリアの組織を標的としてきたが、昨年末には活動範囲を拡大し、特にアメリカを標的にする可能性があると警告されている。3月7日の攻撃はカナダとヨーロッパの標的にも達した。
BlueVoyantは、これらのメールを受け取る可能性のある組織に対して、通常とは異なるトラフィックパターンや外部からのPDF請求書の流入、特に「Invoice_[number]_from_[law firm name].pdf」形式のファイルに注意するよう推奨している。また、企業は従業員を適切に訓練してフィッシングメールを見分ける方法を教える必要がある。
【ニュース解説】
この月初め、サイバー犯罪者が法律事務所になりすまし、複数の企業に対してフィッシング攻撃を行い、初期アクセスマルウェアをダウンロードさせる事件が発生しました。この攻撃は「Narwhal Spider」と呼ばれる犯罪グループによって実施され、このグループは2017年以降、財務目的のキャンペーンで知られています。最近では、Windows SmartScreenの脆弱性を悪用したことも報告されています。
攻撃では、法律サービスの請求書に見せかけたPDFファイルが使用され、これらのPDFは初期アクセスマルウェアを含んでいました。攻撃者は、WikiLoaderという技術を使用して、マルウェアの分析を回避しました。WikiLoaderは、WikipediaへのHTTPSリクエストを送信して、マルウェアがインターネット接続デバイス上にあるか、孤立したサンドボックス環境にあるかを判断する技術です。
今回のキャンペーンで、バンキングトロイの木馬/ローダーであるIcedIDが後続のペイロードとして使用された可能性が示唆されています。Narwhal Spiderは以前は主にイタリアの組織を標的としていましたが、最近になって活動範囲を拡大し、アメリカ、カナダ、ヨーロッパの組織も標的にしています。
このような攻撃から組織を守るために、BlueVoyantは、通常とは異なるトラフィックパターンや外部からのPDF請求書の流入に注意するよう推奨しています。また、従業員がフィッシングメールを見分ける方法を学ぶことが重要であると強調しています。
この事件は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、法律事務所など信頼されている組織を装うことで、被害者が警戒心を解いてしまう点が悪用されています。組織は、従業員のセキュリティ意識を高める訓練を定期的に行うこと、そして、セキュリティシステムを常に最新の状態に保つことが、このような攻撃から身を守るために不可欠です。
また、この事件は、サイバー犯罪者が技術的な手法だけでなく、心理的な手法も駆使していることを示しています。そのため、技術的な対策だけでなく、従業員の教育と訓練も同様に重要であると言えるでしょう。長期的には、サイバーセキュリティの教育を社会全体で強化し、個人と組織が共に警戒を怠らない文化を築くことが求められます。
from Hackers Posing as Law Firms Phish Global Orgs in Multiple Languages.
