Microsoft Teams チャットを介したマルウェアの展開:過大な信頼は危険

Hackers slip into Microsoft Teams chats to distribute malware

2022/02/17 BleepingComputer — Microsoft Teams のアカウントを侵害してチャットに潜入し、会話の参加者に悪意の実行ファイルを拡散させる攻撃者がいると、セキュリティ研究者たちが警告している。毎月 2億7千万人以上のユーザーが Microsoft Teams を利用しているが、悪意のファイルに対する保護機能がないにもかかわらず、このプラットフォームは暗黙のうちに信頼されている。

シンプルかつ効率的な手法

クラウド・メールやコラボレーション・プラットフォームのセキュリティを担当する Check Point 傘下の Avanan の研究者たちは、Microsoft Teams のコミュニケーション・プラットフォーム上の会話に、ハッカーたちが悪意の実行ファイルをドロップし始めたことを発見した。

Avan の脅威研究者である Carl Rogers が BleepingComputer に語ったところによると、この攻撃は1月から始まり、同社は数千件の攻撃を検出したとのことだ。入手したデータによると、ほとんどの攻撃は米国の五大湖地域の組織が、特に地元メディアが対象となっている。

今日、Avanan が発表したレポートによると、脅威アクターは User Centric とい名の実行ファイルをチャットに挿入し、ユーザーを騙して実行させる。実行されると、マルウェアはシステム・レジストリにデータを書き込み、DLL をインストールし、Windows マシン上での永続性を確立する。

Avanan は、「この Teams への攻撃では、トロイの木馬が入ったドキュメントが、ハッカーによるチャット・スレッドに添付される。このファイルがクリックされると、最終的にユーザーのコンピュータが乗っ取られてしまう」と述べている。

Teams アカウントに不正アクセスする方法は不明だが、可能性としては、フィッシングによるメール や Microsoft 365 の認証情報の窃取や、侵害したパートナー組織の経由などが挙げられる。

このようにして配布されたマルウェアを自動分析した結果、このトロイの木馬は、Windows レジストリの実行キーや、スタートアップ・フォルダにエントリを作成することで、持続性を確立するという。また、OS のバージョン情報や、インストールされているパッチに基づくマシンのセキュリティ状態を収集し、ハードウェアに関する詳細な情報も収集するという。

過大な信頼

この攻撃は非常に単純だがが、多くのユーザーが Teams で受け取ったファイルを信頼しているため、非常に効率が良いはずだと、Avanan の研究者は述べている。同社は、Teams を使用している病院のデータを分析し、医師が医療情報を無制限に共有するために、このプラットフォームを使用していることを発見した。

一般的に、電子メールで受け取った情報は疑うが、電子メール・フィッシングの認識トレーニングを受けていても、Teams で受け取ったファイルには警戒心がない。さらに、Teams には、ゲストや外部からのアクセス機能があり、社外の人とのコラボレーションが可能となっている。Avanan によると、これらの招待においては、最小限の監視しか行われないのは通常だとされる。

Avanan は、「Teams のプラットフォームに慣れていないため、多くの人はリクエストを信頼して承認してしまう。また、ユーザー組織内では、CEO/CFO/IT ヘルプデスクなどに、簡単に成りすますことが可能だ」と述べている。

研究者たちは、「悪意のリンクやファイルに対するスキャンが制限されているなど、デフォルトの Teams では保護機能が不足している。また、多くのメールセキュリティ・ソリューションが、Teams に対する強固な保護機能を提供していな。したがって、この問題が悪化している」と述べている。

このような攻撃を防御するために、Avanan は次の項目を推奨している。

  • すべてのファイルをサンドボックスにダウンロードし、悪意のコンテンツを検査する保護機能を導入する。
  • 堅牢なフルスイート・セキュリティを導入し、Teams を含む全てのビジネス・コミュニケーション・ラインを保護する。
  • 見慣れないファイルを目にした場合は、IT 部門に連絡するようエンドユーザーに促す。

メールであっても、Teams であっても、Slack であっても、オンラインでのファイルの受け渡しは怖いですね。そして、交換されるファイルというと、Microsoft Office 系が多くなりますが、1月21日の「Microsoft Excel 4.0 マクロはディフォルトで OFF:マルウェア対策の一環」と、2月2日の「Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF」を見ると、オンラインで交換されるファイルtの範囲を制御しようとする動きが見られます。理想は、Teams や Slack が、マルウェア・スキャンしてくれることですね。

%d bloggers like this: