Microsoft Teams を悪用したフィッシング攻撃:DarkGate マルウェアを配布している

Microsoft Teams phishing attack pushes DarkGate malware

2023/09/09 BleepingComputer — Microsoft Teams メッセージを悪用して DarkGate Loader というマルウェアをインストールし、悪意の添付ファイルを送信するという、新たなフィッシング・キャンペーンが展開されている。このキャンペーンは 2023年8月下旬に開始されたものであり、Microsoft Teams のフィッシング・メッセージが、侵害された 2つの Office 365 の外部アカウントから、他の組織に送信されていることが確認された。これらのアカウントは、他の Microsoft Teams ユーザーを騙して “Changes to the vacation schedule” という ZIP ファイルをダウンロードさせ、開封させるために使用されていた。

この添付ファイルをクリックすると、SharePoint URL から ZIP ファイルがダウンロードされるが、そこには PDF ドキュメントを装う LNK ファイルが取り込まれている。

Truesec の研究者たちが分析したところ、このキャンペーンでは悪意の VBScript が用いられ、DarkGate Loader と特定されたペイロードにつながる感染チェーンが引き起こされるという。

Phishing message sent to targets
ターゲットに送信されたフィッシング・メッセージ (Truesec)

このダウンロード・プロセスでは、感知を回避するための Windows の cURL を介して、マルウェアの実行ファイルとスクリプト・ファイルが取得される。

あらかじめコンパイルされているスクリプトは、AutoIT スクリプトに関連する識別可能な “magic bytes” で始まる悪意のコードを、ファイルの途中に隠し持っている。

Magicbytes section in the malicious scipt
悪意のスクリプトの magic bytes セクション (Truesec)

このスクリプトの実行に先行して、標的となるマシン上で Sophos アンチウイルスの有無がチェックされ、インストールされていない場合には、追加コードの難読化が解除され、シェルコードが起動される。

このシェルコードは、”stacked strings” と呼ばれるテクニックを使用して、DarkGate Windows 実行ファイルを構築してメモリ上にロードする。

Payload details
ペイロードの詳細 (Truesec)
Microsoft Teams を悪用したフィッシング

Truesec と Deutsche Telekom CERT が発見したキャンペーンでは、他の Teams 組織に悪意の添付ファイルを送信するために、侵害済の Microsoft Teams アカウントが悪用される。

Microsoft Teams のフィッシングは、Jumpsec による 2023年6月のレポートでも実証されており、フィッシングとソーシャル・エンジニアリングにより、他の組織へ向けて悪意のメッセージを送信する手口が発見されている。

このリスクの発見により、大きな波紋が広がったが、Microsoft は対処しないことを決定した。その代わりに同社は、スコープを絞った許可リストのようなセキュア設定を適用し、外部のテナントとの通信が必要ない場合は、外部アクセスを無効化するよう推奨している。

その一方では、2023年7月に Red Teamer が公開したツールにより、Microsoft Teams フィッシング攻撃が効率化され、悪用の可能性が高まっている。しかし、最近観測されたキャンペーンの攻撃チェーンに、この手法が関与していることを示すものはない。

DarkGate が公開される

DarkGate は 2017年から出回っており、絞り込まれたにターゲットを攻撃する、サイバー犯罪者たちの小さなサークルにより限定的に使用されていた。

このマルウェアは、幅広い悪意の活動をサポートする強力なものであり、リモート・アクセス hVNC/暗号通貨マイニング/リバースシェル/キーロギング/クリップボード窃盗/ファイルデータ窃盗などを可能にする。

2023年6月には、DarkGate の開発者を名乗る人物が、このマルウェアへのアクセス権を 10人に対して年間 $100k という破格の金額で売ろうとしことが、ZeroFox から報告されている。

Forum post about DarkGate
DarkGate に関するフォーラムの投稿 (ZeroFox)

DarkGate の配布は、その後の数ヶ月の間に増加しており、フィッシングやマルバタイジングを含む各種チャネルで使用されているという報告が複数あった。

現時点の DarkGate は、広範な脅威ではないかもしれないが、その標的の拡大と複数の感染経路の採用により、注意深く監視すべき新たな脅威となっている。

Microsoft Teams を介したフィッシング攻撃ですが、Jumpsec による 2023年6月の報告に関しては、2023/06/23 の「Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下」という記事がありました。また、2023/07/05 には「Microsoft Teams の問題:外部からのマルウェア配信を証明するツールが公表された」もポストされています。よろしければ、Teams で検索と併せて、ご参照ください。