Microsoft Teams を悪用したフィッシング攻撃:DarkGate マルウェアを配布

Microsoft Teams phishing pushes DarkGate malware via group chats

2024/01/30 BleepingComputer — Microsoft Teams のグループ・チャットのリクエストを悪用して、被害者のシステムに悪意の添付ファイルをプッシュし、 DarkGate マルウェアのペイロードをインストールするという、フィッシング攻撃が展開されている。AT&T Cybersecurity の調査によると、この攻撃者は、侵害した Teams ユーザーやドメインを悪用して、1,000 以上の悪意の Teams グループ・チャット招待を送信していたという。

欺かれたターゲットがチャット・リクエストを受け入れた後に、この脅威アクターは、二重拡張子を用いるファイル “Navigating Future Changes October 2023.pdf.msi” をダウンロードするよう誘導するという。この展開では、DarkGate の一般的な手口が使用されている。

ファイルがインストールされると、このマルウェアは hgfdytrywq[.]com にある Command-and-Control (C2) サーバと通信を開始する。hgfdytrywq[.]com というドメインは、DarkGate マルウェアのインフラの一部であることは、すでに Palo Alto Networks により確認されている。

このようなフィッシング攻撃が起こり得るのは、Microsoft Teams の外部ユーザーが、他のテナントのユーザーにメッセージを送ることが、デフォルトで許可されているからである。

AT&T Cybersecurity の Network Security Engineer である Peter Boyle は、「日常的なビジネス利用においては、どうしても必要な場合を除いて、Microsoft Teams の外部アクセスを無効にすることが望ましい。また、エンド・ユーザーは、迷惑メッセージがの送信元について注意を払うよう訓練されるべきである。フィッシングは典型的な電子メールだけでなく、様々な形で行われる可能性があることを再認識すべきである 」と警告している。

Teams group chat phishing
Teams のグループ・チャットによるフィッシング
Image: AT&T Cybersecurity

2億8000万人のマンスリー・ユーザーを誇る Microsoft Teams は、脅威アクターにとって魅力的な標的となっている。DarkGate のオペレーターは、管理者による外部アクセスが無効化されていない組織を、つまり、Microsoft Teams のセキュリティが確保されていない組織をターゲットとして、マルウェアをプッシュしている。

同様のキャンペーンは、2023年にも確認されている。そのときのキャンペーンでは、侵害された Office 365 の外部アカウントや、VBA ローダー・スクリプトの添付ファイルを取り込んだ、悪意のメッセージを送信する Skype アカウントを通じて、DarkGate マルウェアがプッシュされていた。

Microsoft Teams のセキュリティ脆弱性を悪用する、TeamsPhisher と呼ばれる悪意のツールが一般公開されている。それを用いる Storm-0324 などの IAB (Initial Access Brokers) は、企業ネットワークに侵入するフィッシングで Microsoft Teams を悪用しているという。

TeamsPhisher を使用すると、外部テナント・アカウントからのファイル配信をブロックするはずの、クライアント側の保護が実施されていても、攻撃者による悪意のペイロード送信が可能になるという。

ロシアの対外情報庁 (SVR) のハッキング部門である APT29 は、この弱点を悪用することで、世界中の政府機関を含む、数十の組織を標的としていた。

DarkGate マルウェア攻撃の急増

2023年8月に実施された多国籍の法執行活動により、Qakbot ボットネットが解体されたのをきっかけに、サイバー犯罪者たちは、企業ネットワークへのイニシャル・アクセス手段として、DarkGate マルウェア・ローダーを利用するようになっている。

Qakbot ボットネットがダウンする前から、DarkGate の開発者を名乗る人物が、ハッキング・フォーラムで年間 $100,000 のサブスクリプションを販売しようとしていた。

この開発者によると、DarkGate に含まれる多様なツールには、隠し VNC や Windows Defender バイパス・ツールに加えて、ブラウザ履歴窃盗ツール/統合リバース・プロキシ/ファイル・マネージャ/Discordトークン窃盗ツールなどがあるという。

この開発者からサービスを得たサイバー犯罪者たちは、フィッシングやマルバタイジングを含む、様々な配信方法を採用するようになり、DarkGate の感染報告が目立って急増している。

Teams の緩いデフォルト設定が災いして、DarkGate マルウェアが広まっているようです。この件は、2023/06/23 の「Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下」でも指摘されていましたが、Microsoft の方針は変わらないようなので、ユーザー・サイドで対処する必要がありますね。よろしければ、Teams で検索も、ご利用ください。