BEC Group Crimson Kingsnake Linked to 92 Malicious Domains
2022/11/04 InfoSecurity — Crimson Kingsnake と呼ばれるビジネスメール詐欺 (BEC:Business Email Compromise) グループだが、有名な国際法律事務所になりすまして受信者を騙し、期限切れの請求書の支払いを承認させていることが、最近になって確認された。クラウドメール・セキュリティ・プラットフォームの Abnormal が発表した技術レポートによると、米国/英国/オーストラリアの 19の法律事務所/債権回収会社を装う、92件の悪質なドメインが特定され、この脅威アクターに関連づけられたという。
Abnormal は、「Crimson Kingsnake と呼ばれるグループは、本物の弁護士/法律事務所/債権回収サービスになりすまし、経理担当者を騙して偽の請求に対する早急な支払いを迫っている。Crimson Kingsnake は、米国/欧州/中東/オーストラリアの企業を、ターゲットにしていることが確認されている」と述べている。
さらに Abnormal は、多くの BEC ギャングと同様に、このグループは業界にとらわれず、特定の分野の企業を明確にターゲットにするわけではないと説明している。
同社のアドバイザリには、「このグループに対する、積極的な防御活動から収集した情報によると、Crimson Kingsnake に関連する行為者の、少なくとも一部は英国にいる可能性がある」と記されている。
Crimson Kingsnake の攻撃は、実際の弁護士や法律事務所になりすまし、滞納している支払いに言及した電子メールで始まるのが一般的だ。
Abnormal は、「Crimson Kingsnake は、その通信に正当性を持たせるために、法律事務所の実際のドメインに似たドメインでホストされている、電子メール・アドレスを使用する。送信者の表示名は、なりすまされている弁護士に設定されており、電子メールの署名には、事務所の物理的なアドレスが含まれている」と説明している。
DomainTools の Director of Research である Sean McNee によると、BEC 攻撃は依然として儲かるビジネスであり、サードパーティ・ベンダーになりすますことが、最新のトレンドであるとのことだ。
彼は、「犯罪者は、特に機密性の高いデータを共有し、多額の請求書を発行しているサプライヤーとの対外的な関係を乗っ取っている。法律事務所や建設会社といったサプライヤーは、信頼できるサードパーティとみなされるため、従業員による取引依頼の確認や、偽装ドメインの検証などの可能性が低くなる」と Info Security に語っている。
Sean McNee は、「こうした攻撃を防ぐために、企業は意識向上のためのトレーニングを実施し、従業員にドメインを確認することを教え、すべての取引と取引先の詳細を確認を、送金を開始する前の義務にするプロセスを確立すべきだ。サードパーティのドメインになりすます BEC 攻撃は、今日の企業にとって大きな懸念となっている。しかし、正しいツール/トレーニング/プロセスなどにより、組織は攻撃者の一歩先を行くことができる」と結論付けている。
Accenture が発表したレポートも、ランサムウェアによるデータ盗難が BEC 攻撃に拍車をかけていることを示唆している。今回の Abnormal のアドバイザリは、その数カ月後に発表されている。
BEC の怖いところは、文中でも指摘されるサードパーティを装うことで、一度に巨額の資金を決済させる点にあります。2021年9月の「Bank of America インサイダーが関与した BEC 詐欺とマネロンとは?」や、2022年8月24日の「BEC の新たな手口:AiTM で MFA を突破して決済者の Microsoft 365 アカウントを狙う」でも、手口の詳細が解説されていますので、よろしければ、ご参照ください。また、2021年7月の「ビジネスメール詐欺 (BEC) を阻止するためのベスト・プラクティスとは?」も、お勧めできるコンテンツです。
IoT OT Security News 
You must be logged in to post a comment.