IKEA のシステムがリプライチェーン・メール攻撃の渦中にある

IKEA email systems hit by ongoing cyberattack

2021/11/26 BleepingComputer — IKEA が、サイバー攻撃の渦中にいる。この攻撃では、盗まれた機密情報をもとに、リプライチェーン・メールにより従業員に対して、内部的なフィッシング攻撃が行われている。リプライチェーン型のメール攻撃とは、脅威アクターが企業からの正当なメールを盗み出し、そのメールに対して悪意のドキュメントなどへのリンクを返信して、受信者のデバイスにマルウェアをインストールするものである。

それらの返信メールは、企業のアドレスからの正規のメールであり、侵害されたメール・アカウントや社内サーバーから送信されるため、受信者はメールを信用し、悪意のドキュメントなどを開いてしまう可能性が高くなる。

進行中の攻撃に対処する IKEA

BleepingComputer が確認した社内メールによると、IKEA は社内のメールボックスを狙ったリプライチェーン型の、フィッシング攻撃が続いていることを従業員に警告している。これらのフィッシング・メールは、危険にさらされている IKEA の組織やビジネスパートナーからも送信されている。

IKEA から従業員に対しては、「Inter IKEA のメールボックスを標的としたサイバー攻撃が続いている。IKEA の各組織や、サプライヤー、ビジネスパートナーも同じ攻撃を受けており、さらに悪意のメールを Inter IKEA の関係者に拡散している」というメールが送られているのを、BleepingComputer は確認している。

同社は、「つまり、この攻撃で装われるのは、一緒に仕事をしている人からのメールや、外部の組織からのメール、進行中の会話への返信としてのメールもあり得るということだ。そのため、検知することが難しく、特に注意してほしい」と述べている。

IKEA の IT チームは、リプライチェーン・メールの末尾には、7桁の数字を使ったリンクが含まれていることを従業員に警告し、いくつかのメール例を紹介している。また、従業員に対しては、誰が送ったかに関わらず、メールを開かないようにし、すぐに IT 部門に報告するよう指示している。また、受信者には、Microsoft Teams のチャットを通じて、メールの送信者に報告するように伝えられている。

最近のこと、脅威アクターは、ProxyShell および ProxyLogin の脆弱性を利用して、社内の Microsoft Exchange サーバーを侵害し、フィッシング攻撃を行うようになった。サーバーにアクセスできるようになった脅威アクターは、内部の Microsoft Exchange サーバーを悪用して、盗み出した企業の電子メールを使って、従業員に対してリプライチェーン攻撃を行っている。

これらのメールは、社内の危険なサーバーや、既存のメールチェーンから送信されているが、悪意のメールではないと判断され、悪意のフィッシング・メールを隔離から解放してしまうことも懸念されている。そのため、攻撃が解決するまで、従業員がメールを公開することは禁止されている。

IKEA は、「当社のメール・フィルターは、悪意のメールの一部を識別して隔離する。そのため、メール・フィルターが間違えたと判断して、隔離されていたメールを解除してしまうことがある。そのため、次の通知があるまで、全員がメールを隔離から解放することができないようにする」と従業員に伝えている。IKEA は、この攻撃に関するメールへの返信を行わず、また、社内サーバーの侵害の有無について従業員に公表していませんが、同様の攻撃を続いていると思われる。

Emotet または Qbot トロイの木馬の拡散につながる攻撃

BleepingComputer は、修正済みフィッシング・メールで共有されている URL から、IKEA を標的とした攻撃を特定することができた。これらの URL にアクセスすると、ブラウザは悪意の Excel ドキュメントを含む charts.zip というダウンロード・ファイルにリダイレクトされる。この添付ファイルは受信者に対して、「コンテンツを有効にする」または「編集を有効にする」ボタンをクリックして、正しく表示するよう指示する。

これらのボタンがクリックされると、悪意のマクロが実行され、リモートサイトから besta.ocx/bestb.ocx/bestc.ocx という名前のファイルをダウンロードし、C:Datop フォルダに保存する。これらの OCX ファイルは DLL に改名され、regsvr32.exe コマンドを用いて実行され、マルウェアのペイロードをインストールする。

この手法を用いたキャンペーンでは、Qbot トロイの木馬 (別名:QakBot/Quakbot) のインストールが確認されており、BleepingComputer が VirusTotal に投稿した情報によると、Emotet の可能性もある。Qbot トロイの木馬と Emotet トロイの木馬は、いずれもネットワークをさらに侵害し、最終的には侵害されたネットワーク上にランサムウェアを展開することになる。

これらの感染の深刻さと、Microsoft Exchange サーバーが危険にさらされている可能性が高いことから、IKEA は今回のセキュリティ・インシデントについて、はるかに破壊的な攻撃につながる可能性のある、深刻なサイバー攻撃として扱っている。

これは大変なことです。ほんとに収束できるのかと、心配になってしまいます。11月20日に、「Microsoft Exchange を狙うリプライ・チェーン攻撃は止まらずに継続している」という記事をポストしましたが、そこには「これらのメールは、同じ社内ネットワークから発信されており、2人の社員間で以前に行われた議論の続きのように見えるため、そのメールが正当で安全なものであるという信頼度の向上につながる。これは、受信者である人間に対して効果的であるだけでなく、ターゲット企業で使用されているメール保護システムの、アラームを出さないという点でも優れている」と記されていました。

%d bloggers like this: