奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている

‘Anomalous’ spyware stealing credentials in industrial firms

2022/01/20 BleepingComputer — 研究者たちにより、産業界をターゲットにした、いくつかのスパイウェア・キャンペーンが発見された。電子メールアカウントの認証情報が盗みだされたが、その目的は、金融詐欺や認証情報の転売だと考えられる。攻撃者は、既製のスパイウェア・ツールを使用しているが、検出を逃れるために、それぞれの亜種を、きわめて限られた時間において展開している。攻撃に使用される汎用マルウェアの例としては、AgentTesla/Origin Logger/HawkEye/Noon/Formbook/Masslogger/Snake Keylogger/Azorult/Lokibot などがある。

非典型的な攻撃

Kaspersky は、これらのスパイウェア攻撃について、異常だとしている。その理由は、この分野で典型的と考えられているものと比較して、非常に短命な性質を持っているからだ。これまでの経験からして、大半のスパイウェア・キャンペーンが数ヶ月から数年に渡って続くのに対し、これらの攻撃の寿命は約25日間に限られている。また、攻撃対象となるシステムの数は常に 100台以下であり、そのうち半数は産業用の ICS (Integrated Computer Systems) マシンとなっている。

また、アクターが管理する C2 サーバーへのデータの流出において、SMTP ベースの通信プロトコルが使用される点も珍しい。ほとんどの標準的なスパイウェア・キャンペーンで、C2 通信に使用されている HTTPS とは異なり、SMTP はデータ窃盗のみを目的とした一方通行のチャネルである。SMTP は、バイナリなどの非テキスト・ファイルを取得できないため、脅威アクターにとって一般的な選択肢ではないが、そのシンプルさと通常のネットワーク・トラ フィックに溶け込む能力により成功を収めている。

認証情報を盗み、侵入を進める

スピアフィッシングで取得した従業員の認証情報を利用して、企業のネットワークに深く侵入し、横方向に移動していく。さらに、すでに侵害した企業のメールボックスを新たな攻撃の C2 サーバーとして使用するため、悪意の社内通信の検知やフラグ立てが極めて困難になる。

Kaspersky のレポートは、「不思議なことに、企業のスパム対策テクノロジーは、攻撃者が気付かれないようにするのに役立っている。つまり、感染したマシンから取得したクレデンシャルを、スパムフォルダ内のゴミメールの中で隠すようにして、盗むことを許している」と述べている。

分析者たちは、テンポラリな C2 サーバーとして悪用された、企業の電子メールアカウントは少なくとも 2,000件ほどあり、また、その他の方法で悪用された電子メールアカウントを 7,000件ほど確認したと述べている。

ダークウェブ市場での販売

これらのキャンペーンで盗まれた、電子メール/RDP/SMTP/SSH/cPanel/VPN アカウントの認証情報の多くは、ダークウェブのマーケットプレイスに掲載され、最終的に他の脅威アクターに販売される。Kaspersky の統計分析によると、このような違法マーケットで販売されている RDP アカウントのうち、約 3.9% が産業界のものであることが分かっている。

RDP (Remote Desktop Protocol) アカウントは、機密性の高いマシンにリモートでアクセスし、赤旗を出さずにデバイスと直接やりとりできるという、サイバー犯罪者にとって貴重な存在である。一般的に、これらの認証情報リストは、ランサムウェア・アクターの興味を引き、また、RDP アクセスの悪用による壊滅的なマルウェア展開へとつながる。

文中にもあるように、SMTP を使うので、情報の吸い上げのみに特化したスパイウェアです。一般には、この種のスパイウェアがドロップされた時点で、イニシャル・アクセスのための足場が構築されますが、それは行わないという TTP なのでしょう。また、持続性については、きわめて短期間の設定が行われているので、検知されずに情報を抜き取ることにフォーカスしていますね。ダークウェブがハブとなり、サイバー攻撃に必要とされる役割が、さらに細分化していくようです。

%d bloggers like this: