ベトナムを発信源とする新たなサイバー脅威に関する調査レポートが公開
Meta BusinessやFacebookアカウントの広告エコシステムをターゲットとした攻撃が増加
先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (以下、ウィズセキュア) は、『DUCKPORT』と名付けられた、ベトナムを拠点とする新たなサイバー脅威に関する調査レポートを公開し、Meta BusinessやFacebookアカウントなどの広告エコシステムをターゲットとした攻撃が増加していると注意を喚起している。
ウィズセキュアのリサーチ部門であるWithSecure Intelligence (略称: WithIntel) によるレポートによると、これらのプラットフォームを標的とする複数のグループを観測し、現在追跡している。これの攻撃は、ターゲットとするアカウントにアクセスできるユーザーを操作して、インフォスティーラー (情報を搾取するマルウェア) に感染させるもの。
攻撃者は、電子メールやソーシャルメディアなどを通じて共有されるルアーを使用し、ターゲットがマルウェアをダウンロードするように仕向ける。WithIntelのリサーチャーがこれらの攻撃において観測したルアーに共通するテーマは、トレンドトピック (ChatGPTなど)、ユーザー数の多いソフトウェア (Notepad++など)、採用関連 (求人広告など )、広告プラットフォームに関する情報 (Ads Managerツールなど) などであった。
感染後、マルウェアはFacebookのセッションCookieやログイン認証情報など様々な情報を盗み出し、攻撃者によるターゲットアカウントへのアクセスを可能にする。また、マルウェアの中にはアカウントを乗っ取り、ターゲットのマシンを経由して自動的に不正な広告を実行するものもある。攻撃者はこれらのアカウントにアクセスすることで、恐喝、中傷、そしてターゲット企業の資金や信用を利用した詐欺広告の掲載など、金銭目的の機会を広く創出しようとしている。
レポートを執筆したWithIntelのリサーチャーであるMohammad Kazem Hassan Nejad (モハマッド・カゼム・ハッサン・ネジャッド) は、こうした攻撃について次のように語っている。
「これらの攻撃グループは、しばしば他のサイバー犯罪者に広告を販売し手数料を取ったり、攻撃を分担させたりしています。そのため、他のサイバー犯罪者にとっての一種のイネイブラー (enabler) になり、最終的には企業やそのプラットフォーム、そしてユーザーに被害をもたらすこととなります。さらに、彼らは盗み出すことに成功した情報の多くを外部に販売することでより多くの収入を得て、そしてその結果、被害者にとってさらに多くの問題を引き起こすことになるのです」。
レポートでは、攻撃の概要を説明するとともに、攻撃に関与していると考えられる2つのサイバー脅威についての分析を提供している。
1. DUCKTAIL
WithIntel が過去約1年半にわたって追跡してきた脅威。リサーチャーたちは、過去6ヶ月間にDUCKTAILの活動が大幅に急増したこと、またその活動において、X (旧Twitter) の広告アカウントをターゲットにしたもの、検知を回避するための回避/反解析テクニックの利用の拡大など、複数の重要な進化が観察された。
参考ページ:ウィズセキュア、Facebookビジネスアカウントから情報を盗むインフォスティーラー型マルウェア『DUCKTAIL』を発見 (2022年7月26日)
https://www.withsecure.com/jp-ja/whats-new/pressroom/20220726-ducktail
インフォスティーラー『DUCKTAIL』による被害が拡大、1件あたり数十万米ドルの被害に (2022年11月24日)
https://www.withsecure.com/jp-ja/whats-new/pressroom/20221124-ducktail
2. DUCKPORT
WithIntelが本年3月に発見した脅威。DUCKTAILとDUCKPORTの間にはかなりの共通点が見受けられるが、別個のサイバー犯罪グループであると判断するに値する大きな相違点もまた存在する。DUCKPORT特有の機能の代表的なものとしては、スクリーンショットを撮影する機能や、C&C (コマンドアンドコントロール) チェーンの一部としてオンラインノート共有サービスを悪用する機能などが挙げられる。
リサーチに参加したウィズセキュアのNeeraj Singh (ニーラジ・シン) は、類似する複数の攻撃グループが関与していることは、この分野で活動する攻撃グループ間での一定レベルの関与があることを示していると話している。
「これらの様々な攻撃グループは、共通の人材プールから専門的なナレッジを集めていたり、より効果的な攻撃戦略のためのツールやインサイトの共有のために、情報共有のグループを組んで活動している可能性があります。さらに、RaaS (Ransomware-as-a-Service = サービスとしてのランサムウェア) のような専門サービスを提供する仲介業者が関与する可能性も無視できません。しかし、この種の攻撃が増加していることは明らかであり、また、これらの攻撃グループが一定の成功を収めていることも否めません」。
レポートの全文は以下のページで確認が出来る。
(英語) https://labs.withsecure.com/publications/meet-the-ducks
出典:PRTimes ウィズセキュア、ベトナムを発信源とする新たなサイバー脅威に関する調査レポートを公開