脅威グループであるBlack Bastaの攻撃詳細についてまとめられていました。
Black Bastaは、ターゲットの電子メールに迷惑メールを大量に送信して迷惑メールに溢れた頃に、Microsoftのテクニカルサポートや企業のIT担当者になりすまして電話をかけ、スパム問題の修復を装います。
攻撃者はWindowsに内蔵されているリモートコントロールツール「Quick Assist」を使ってアクセスを得ます。
スクリプト化されたcURL コマンドを実行して、悪意のあるペイロードに使用される一連のバッチファイルまたは ZIP ファイルをダウンロードします。
いくつかのケースでは、Qakbot、ScreenConnect や NetSupport Manager などの RMM ツール、Cobalt Strike のダウンロードにつながるような動きが確認されています。
悪意のあるツールをインストールしてサポート詐欺による通話を終了した後、ドメイン列挙を実行し、被害者のネットワークを横方向に移動し、Windows PsExecを使用して Black Basta ランサムウェアを展開します。
同じ攻撃を観測したRapid7は、「PowerShellを使用してコマンドラインから被害者の資格情報を収集するバッチスクリプト」が使用されたことを確認しています。
バッチスクリプトの内容は、SCPコマンドを利用して認証情報を、攻撃者のサーバーに送信します。
これらの攻撃で注目した点は、ソーシャルエンジニアリングを起点にして、LOL攻撃が使用されていることです。
マルウェアなどのウイルスは、エンドポイントセキュリティ製品である程度は防御できますが、cURL、PsExec、SCPコマンドなどはWindowsの正規のコマンドであり、日常的に使われる可能性が高いため、検知が難しくなります。
ソーシャルエンジニアリングへの対策として、マイクロソフトは以下の2点を挙げています。
・Quick Assist や同様のリモート監視および管理ツールが使用されていない場合はブロックまたはアンインストールすること
・テクニカル サポート詐欺を見分けるように従業員を訓練すること
もう一つの対策として、LOL攻撃を検知できるアノマリを設定しておくことが考えられます。
アノマリとは、通常の業務中に流れる通信をシグネチャとして登録し、通常とは異なる異常な通信を検知した際にアラートを挙げる仕組みです。
大量のPsExecが使われている、SCPのコピー先がいつもと違う外部のサーバーであることを検知できます。
ソーシャルエンジニアリングは、人の脆弱性であり対策にはどうしても穴があります。できる限り技術的な仕組みで攻撃を防ぎたいものです。
