Conti フラッシュバック:BazarCall による巧妙なフィッシング手口を分析する

Conti Cybercrime Cartel Using ‘BazarCall’ Phishing Attacks as Initial Attack Vector

2022/08/11 TheHackerNews — Conti サイバー犯罪カルテルの3つの分派が、標的ネットワークに侵入する際のイニシャル・アクセスの手段として、コールバック・フィッシングの手法を採用している。水曜日に発表したレポートにおいて、サイバー・セキュリティ企業である AdvIntel は、「それらの3つの自律的な脅威グループが、コールバック・フィッシングの手法から派生した、独自の標的型フィッシング戦術を開発/採用している」と述べている。

これらの標的型キャンペーンは、金融/法律/保険/テクノロジーなどの、分野および企業への攻撃を大幅に増加させていると、同社は付け加えている。問題の驚異アクターには、Silent Ransom/Quantum/Roy/Zeon などが含まれるが、これらはすべて、ウクライナ紛争におけるロシア支持を表明し、2022年5月にシャットダウンした、Conti から分離したものだ。

Source: AdvIntel


BazaCall (別名:BazarCall) とも呼ばれる、高度なソーシャル・エンジニアリングの手口は、2020〜2021年に Ryuk ランサムウェアにより用いられ、その後に Conti にブランド変更されたことで脚光を浴びるようになった。2022年5月に、大幅な運用改善が行われたとされるが、この頃の Conti は、活発なグループの動きをシミュレーションしながら、組織全体を再構成するための調整に追われていたようだ。

また、このフィッシング詐欺の特徴は、メールでは悪意のリンクや添付ファイルを用いず、指定した番号に電話をかけさせ、受信者のクレジットカードにプレミアム会費が請求されると警告する点にある。

標的にされた受信者が、この手口に引っかかり、メールに記載された番号に電話をかけると、BazaCall のオペレーターが設置した、偽のコールセンターの担当者につながる仕組みになっている。そして、想定される契約解除のために、この顧客サービス担当者にリモートデスクトップ操作を許可するよう、被害者への説得が試みられる。

つまり、このデスクトップへのアクセスにより、脅威アクターはユーザーのネットワークに侵入し、後のアクティビティであるデータ流出などのための、持続性を確立する手順を実施することになる。

AdvIntel は、「コールバック・フィッシングは、ランサムウェアの展開に広く対応するための戦術だった。この攻撃ベクターは、Conti の伝統として本質的に組み込まれているものだ」と付け加えている。

2022年3月に Conti から分派した、最初のサブグループである Silent Ransom は、Zoho Masterclass/Duolingo サービスの支払い請求する、サブスクリプション期限切れメールを通じてイニシャル・アクセスを得た後に、データ強要攻撃へと移行している。

イスラエルのサイバー・セキュリティ企業である Sygnia は7月に、「これらの攻撃は、データ侵害の身代金攻撃に分類され、グループの主な狙いは、機密文書や情報へのアクセスを窃取し、盗み出したデータの公開を差し止める替わりに、支払いを要求する点にある」と、この感染手順について指摘している。同社は、Luna Moth という名前で Silent Ransom の活動を追跡している。

Source: AdvIntel

Quantum/Roy/Zeon も Conti スピンオフであり、2022年6月から、同じ手法で犯罪を繰り返している。5月にコスタリカ政府のネットワークで発生した、壊滅的なランサムウェア攻撃に Quantum は関与しているが、Roy/Zeon は Ryuk 自体の作成を担当したメンバー で構成されているようだ。

研究者は、「脅威アクーたちは、兵器化されたソーシャル・エンジニアリング戦術の可能性を理解している。これらのフィッシング作戦は、時間が経つにつれて精巧なものへと変化し、正当なコミュニケーションに基づく解析が、より困難になっていくと思われる」と述べている。

この調査結果は、産業用サイバーセキュリティ企業である Dragos が、産業インフラに対するランサムウェア攻撃の件数が、2022年 Q1 の 158件から Q2 の 125件に減少したことを明らかにしている。この減少は、Conti がシャットダウンしたことにも、原因があると述べている。

それだけではない。今週にブロックチェーン分析会社の Elliptic は、シャットダウンした Conti グループが、2021年4月〜7月に仮想資金を送金するクロスチェーン・ブリッジ RenBridge を通じて、$53 million 以上の暗号資産をロンダリングしたことを明かしている

Conti サイバー犯罪カルテルのスピンオフが、ついに活動を開始したようです。Conti についてですが、2022年6月22日の「Conti 解体新書:研究開発部/人事部を有するグローバル RaaS 産業に成長」をみれば、その全容が掴めます。また、6月24日の「Conti がデータ漏洩と交渉のサイトを閉鎖:サイバー犯罪シンジケートとして活動を継続?」をみれば、今後に起こり得るインシデントが予測できるはずです。Conti から分派したサンバー犯罪グループは、これまでに蓄積されたテクノロジーとノウハウを用いて、ハイレベルの攻撃を仕掛けてくることでしょう。

%d bloggers like this: