本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/attackers-expand-coronavirus-themed-attacks-and-prey-conspiracy-theories」の翻訳です。
Proofpointの研究者は、グローバルな新型コロナウイルスの感染拡大に関連した悪意のあるアクティビティについて、最新のニュースとレポートを常に監視しています。Proofpointのチームはアクティビティの全体的な増加(数十万通のメッセージに達しました)を観測しましたが、最も注目すべきは新型コロナウイルスの未発表の治療法についての陰謀論を使った新たな攻撃で、これは正規の情報源を装ってユーザーを騙そうとするものです。
この最新のキャンペーンでは、攻撃者は使用するマルウェアを拡張して、EmotetとAZORult情報スティーラーだけでなくAgentTeslaキーロガーとNanoCore RATも使うようになりました。これらはすべて、金融情報を含む個人情報を盗むことができます。また攻撃者は攻撃を拡大し、クレデンシャルの窃取も行っています。Proofpointの研究者は、電子メールにリンクされた偽のOffice 365、Adobe、およびDocuSignサイトを確認しました。これらは新型コロナウイルスをテーマにしており、クレデンシャルを盗むことを意図しています。
これまでProofpointでは、新型コロナウイルスをテーマにした攻撃について、感染拡大による経済的混乱、特に物流に関する懸念を中心に書いてきました。この傾向は今も継続しており、その影響は製造業にも拡大しています。
これと同様に、経済的混乱に乗じる形で建設、教育、エネルギー、ヘルスケア、産業、製造、小売、および運送業界を狙って専用にカスタマイズされた攻撃も観測されています。
地理的には、以前の日本と米国に対する標的に加えて、オーストラリアとイタリアに焦点を当てた攻撃も見られます。後者で使われるルアーはイタリア語です。
キャンペーンの例
脅威アクターは、新型コロナウイルスの未発表の治療法があるが、政府がそれを隠しているという陰謀論を騙る電子メールキャンペーンを開始しました。図1のメールでは、ウイルスは生物兵器のため、治療法があるのに政府機関がそれを隠していると主張していることがわかります。次に、電子メールに記載されているリンクをクリックして、「治療法」に関する詳細情報を確認するよう受信者に促します。
図1 新型コロナウイルスの「秘密の治療法」ルアー
受信者がリンクをクリックすると、偽のDocuSign Webサイトに移動し、情報を取得するためにクレデンシャルを入力する必要があることが通知されます。
攻撃者はまた、社内の信頼関係をも破壊します。図2に示すように、新型コロナウイルスに関して社長から全従業員へ宛てた内部メールのように見えるキャンペーンが観測されました。
図2 新型コロナウイルスに関する社長からの偽の内部メール
このメールは非常に巧妙で、社長の実名が使われています。メッセージには、クレデンシャルの入力を求める偽のMicrosoft Office WebサイトへのURLが埋め込まれたMicrosoft Wordファイルが添付されています。クレデンシャルが入力されると、ユーザーは正規のWHO(世界保健機関)の新型コロナウイルス情報サイトにリダイレクトされ、フィッシングが正当に見えるようになっています。
正規の情報源の信頼を失墜させ、悪用しようとする手法としては、図3のように、攻撃者がWHOの名前を騙ってAgentTeslaキーロガーをインストールする添付ファイルを配布する例があります。
図3 偽のWHOルアー
このマルウェアがインストールされると、すべてのキー入力が記録され、攻撃者に送信されます。その結果、オンラインバンキングおよび金融口座にアクセスされてしまいます。
図4は、Australia HealthCareからのものであると主張する電子メールです。Australia HealthCareという機関は存在しません(しかし、もっともらしい名前ではあります)が、新型コロナウイルスの予防のヒントを共有すると主張しています。
図4 「Australia HealthCare」ルアー
ユーザーがリンクをクリックすると、クレデンシャルを入力するために偽のAdobe Webサイトに移動します。
攻撃者はこれまで物流を中心に狙ってきましたが、対象を拡大して製造業を標的に加えました。図5は、「Coronavirus Update: China Operations」(新型コロナウイルス最新情報:中国での事業)という件名を使用した例で、「Factory Contacts and Office Resumption」(工場の連絡先とオフィスの再開)というタイトルの添付ファイルが含まれています。これは明らかに、新型コロナウイルスによる中国での製造停止に対する懸念に訴えかけるためのものです。
図5 新型コロナウイルスの影響を訴える中国事業ルアー
この電子メールは、主に製造業、小売業、および運送会社をターゲットにしていますが、これらはすべて、中国での製造業の混乱について合理的な懸念を持っている業種です。添付ファイルは、侵入者のシステムを攻撃者に完全に制御できるリモートアクセス型トロイの木馬であるNanoCore RATをインストールしようとします。最近、このマルウェアがドイツの製造業に対する攻撃で頻繁に使用されていることが観測されています。
全体として、これらの最新の攻撃例は、新型コロナウイルスをテーマにした電子メールとWebサイトが関係する場合、ユーザーは注意を払い慎重になる必要があることを示しています。Proofpointは引き続きこの状況を監視し、情報を更新します。
今後、新型コロナウイルスに関連するキャンペーンと脅威分析についてのインサイトをTwitterアカウントに投稿しますので、是非フォローしてください:https://twitter.com/threatinsight