プルーフポイントは、広範囲に攻撃を繰り広げるサイバー犯罪者TA575がイカゲーム のルアー(おとりテーマ)を用いて、Dridexマルウェアを配布していることを確認しました。この攻撃者は世界的なストリーミングサービス企業であるNetflixを装い、「イカゲーム」の新シーズンへのアーリーアクセスや、テレビ番組のキャスティング、エキストラ出演応募に参加するよう誘惑するメールを使用しています。
2021年10月27日、プルーフポイントは、主に米国のあらゆる業種を対象とした数千通の電子メールを確認しました。メールの件名は以下のようなものでした。
- Squid Game is back, watch new season before anyone else. (イカゲーム再開、誰よりも早く新シーズンをご覧ください。)
- Invite for Customer to access the new sesason. [sic] (新シーズン視聴に関するお客様への招待状)
- Squid game new season commercials casting preview (イカゲーム新シーズン キャスティングプレビュー)
- Squid game scheduled season commercials talent cast schedule (イカゲーム新シーズンタレントキャストスケジュール)
図1:Netflixの「イカゲーム」新シーズンへのアーリーアクセスを誘うメールの誘い文句
図2:Netflix配信のイカゲームをテーマにしたおとり文章で、出演者やエキストラの応募を募っている
このメールでは、新シーズンにいち早くアクセスするために添付書類に記入するように、または出演者/エキストラに応募するためにタレントフォームに記入するようにと指示がなされています。添付書類はExcelのマクロで、有効にするとDiscordのURLからDridexバンキング型トロイの木馬のアフィリエイトID「22203」をダウンロードするようになっています。Dridexは、複数のアフィリエイトによって広範囲に配布されているバンキング型トロイの木馬で、データの窃盗やランサムウェアなど後続のマルウェアのインストールにつながる可能性があります。
図3:今回のキャンペーンで観測された数種類のエクセル添付ファイルルアーの一つ
TA575は、プルーフポイントが2020年後半から追跡しているDridexのアフィリエイトです。このグループは、悪意のあるURL、Microsoft Officeの添付ファイル、パスワードで保護されたファイルを介してマルウェアを配布しています。TA575は平均して、数百の組織に影響を与える攻撃キャンペーンを繰り広げており、1つの攻撃キャンペーンごとに数千通のメールを送信しています。また、TA575は、Discordのコンテンツ・デリバリー・ネットワーク(CDN)を利用して、Dridexマルウェアのホスティングと配布をおこなっています。Discordは、一般消費者や企業が利用するコミュニケーション・プラットフォームですが、サイバー犯罪者が利用するマルウェアのホスティング・サービスとして人気が高まっています。
TA575のテーマには、「請求書」や「支払い」関連のテーマがよく使われますが、人気のあるニュースやイベント、文化的な話題が含まれていることもあります。一般的に、サイバー犯罪者たちは、「イカゲーム」など人気のあるテーマを攻撃のルアーやマルウェアのテーマ*1として取り上げています。これは理にかなった戦術です。「イカゲーム」はNetflixの「史上最大」*2のシリーズであるため、これに関連した悪意のあるコンテンツに不用意に誘われてしまう可能性のある潜在的な被害者の数は、一般的なルアーテーマを用いるよりも多くなります。TA575は、次のシーズンへの参加を呼びかけることで、より多くのユーザーに悪意のあるMicrosoft Excelファイルに触れさせることができると考えています。
プルーフポイントでは以下のIoC(侵害の痕跡)を確認しています。
Indicator |
Description |
85d2fe6405aac0816f7286bc26174151ae69a08210aec78fea5628862489d8ac |
Dridex SHA256 |
149[.]202[.]179[.]100:443 |
Dridex C2 |
66[.]147[.]235[.]11:6891 |
Dridex C2 |
81[.]0[.]236[.]89:13786 |
Dridex C2 |
hxxps[:]//cdn[.]discordapp[.]com/ |
Excel Payload |
hxxps[:]//cdn[.]discordapp[.]com/ |
Excel Payload |
hxxps[:]//cdn[.]discordapp[.]com/ |
Excel Payload |
*1: https://www.techrepublic.com/article/you-definitely-dont-want-to-play-squid-game-themed-malware-is-here/
*2: https://www.cnn.com/2021/10/12/media/squid-game-netflix-viewership/index.html
※本ブログの情報は、英語による原文「TA575 Uses ‘Squid Game’ Lures to Distribute Dridex malware」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。