BEC Group Uses Open Source Tactics in Hundreds of Attacks
2023/02/01 InfoSecurity — これまでの2年間において、かなり素朴な手法で数百人の被害者をターゲットにし、大きな成功を収めた BEC グループについて、セキュリティ研究者たちが警告している。Abnormal Security が Firebrick Ostrich と名付けられたグループは、2021年4月以降において、少なくとも 347件のキャンペーンを展開してきた。正確な成功の確率は不明だが、そのヒット率に関しては、大規模という言葉で表現されている。Firebrick Ostrich は、政府の Web サイトを詳細まで調べ、既存の契約/ベンダー情報/ベンダー総数を確認するなど、オープンな情報源を調査してきた。
Abnormal Security の Director of Threat Intelligence である Crane Hassold は、「この種の情報は、一般的な視点では限られたものになる。しかし、少なくとも敵対者が攻撃で利用できる情報として、つまり2つの組織間に存在する、つながりという事実を与えてくれる」と述べている。
それらの情報を収集した攻撃者は、Namecheap や Google 経由でドメイン名を登録するが、それらは成りすましベンダーの正規ドメインに酷似したものとなる。ただし、標的となベンダーと顧客の関係について、攻撃者は詳細な情報を持っていないため、この BEC メールでは、未払い金に関する問い合わせや、ベンダーの支払い更新の要求といった曖昧な内容になっている。
これまでに Firebrick Ostrich は、212 種類の悪意の登録ドメインを用いて、151 件の組織に成りすまし、広範な分野を侵害していると、Hassold は述べている。大半 (60%) の悪意のドメインは、BEC メールが送信された当日に登録されており、企業の脅威ハンターに有益な手がかりを提供している。
また、このグループは標的を詳しく把握していないため、通常は集中管理された買掛金のメール配信リストにメールを送り、財務部門の全従業員を同時に標的にしている。それらの従業員のうちの一人でも騙される者がいれば、詐欺師は最新の口座情報を送り、その口座に振り込ませることになる。
Hassold は、「このグループが極めてユニークなのは、アカウントの侵害や、ベンダーと顧客の関係を深く調査せずに、大きな成功を収めている点である」と結論づけている。
OSINT (Open-source intelligence) で BEC を成功させるという、これまでには、あまり見たことのないタイプの犯罪です。このところ、なにかと話題の ChatGPT ですが、OSINT への応用は良性/悪性を問わず、最適なテーマの1つだと言えるでしょう。いろいろと考えると、ちょっと怖くなってきます。2022年の BEC に関する記事は、以下のとおりです。
2022/12/09:BEC 攻撃:83% がモバイルの脅威に懸念
2022/11/04:BEC グループ Crimson Kingsnake の解明が進む
2022/08/24:BEC の新たな手口:AiTM で MFA を突破
2022/08/13:BEC を誘発するランサムウェア
IoT OT Security News 
You must be logged in to post a comment.