Black Basta Ransomware Uses MS Teams, Email Bombing to Spread Malware
2024/12/10 HackRead — ランサムウェア・グループ Black Basta (別名 UNC4393) が仕掛ける、ソーシャル・エンジニアリング・キャンペーンに関する詳細レポートが、Rapid7 から公開された。このレポートが焦点を合わせるキャンペーンは、2024年5月に初めて報告され、2024年8月にペイロードが更新されたものであり、現在も進行中だという。
Rapid7 の調査によると、Black Basta の初期段階の手順が練度を高めている。具体的に言うと、Microsoft Teams 経由で送信されるおとりメールを介して、新たなマルウェアのペイロードを配信しているが、その配信の手段は改善され、防御を回避する手段は強化されているという。
- Black Basta キャンペーンの復活:以前から、世界中の組織を標的にして、その戦術を洗練させてきた Black Basta だが、現時点で展開されている、高度なソーシャル・エンジニアリング・キャンペーンに関するレポートが、Rapid7 の研究者により公開された。
- 強化された戦術:この脅威アクターが用いる戦術は、電子メール爆弾および、Microsoft Teams を介したなりすましと、QuickAssist や AnyDesk などの正規ツールを用いるリモート・アクセスの獲得である。それにより、MFA をバイパスし、悪意のペイロードを実行する。
- 悪意のツール:この脅威アクターは、Black Basta ランサムウェアを配信する前の段階で、Zbot や DarkGate などのツールを展開し、認証情報の収集/データの外部への送信/持続性の確立などを実現している。
- 改良されたペイロードの配信:最新のテクニックに取り込まれたものとして、カスタム・パッカーによる難読化/rundll32.exe を介した DLL 実行/高度な回避戦略などが挙げられる。
- 防御側の緩和策:ランサムウェアの脅威を緩和するユーザー企業に対して、推奨される手段として挙げられるのは、より強固なパスワードポリシーの採用/セキュリティ・トレーニングの実施/高度な防御策の実施などである。
報道によると、このキャンペーンは Email Bombing 攻撃から始まるという。第一歩として、ターゲットのメール・アドレスを、複数のメーリング・リストに重複して登録する。それにより、大量のメールを送信し、被害者を混乱させるという下準備が整えられる。
それに続いて、IT サポート要員を装う攻撃者は、支援すると見せかけて被害者を騙し、ユーザー・システムへのリモート・アクセス権を承認させるように誘導する。この初期段階のインタラクションにおいては、Microsoft Teams が悪用される。その一方では、Azure/Entra テナント・サブドメインとカスタムド・メインが、アカウント・ドメインとして悪用される。
被害者に対して促されるのは、QuickAssist/AnyDesk/TeamViewer/Level/ScreenConnect などのリモート管理ツールの、インストールと実行である。認証情報を盗んだ後の攻撃者は、MFA (multi-factor authentication) を回避するために、OpenSSH クライアントを用いるリバース・シェルの確立や、ユーザーとの QR コード共有などを試行すると思われる。
その後に、被害者のシステムへのアクセス権を獲得した攻撃者は、認証情報の収集/内部での移動/データ抽出などのために、さまざまな悪意のツールを展開する。
カスタム・パッカーによる難読化された、Zbot や DarkGate などのペイロードが使用され、機密情報を盗み出した後に、システム上での永続性が確立される。ただし、脅威アクターたちの最終的な目標は、Black Basta ランサムウェア自体を展開し、重要なデータを暗号化し、身代金の支払いを要求することにある。
DarkGate はパワフルな悪意のシェルコードであり、情報窃取やバックドアの設置などに加えて、感染させたマシンからの再感染の展開といった、幅広い悪意のアクティビティを実現する。
その一方で Zloader/Zbot は、高度なトロイの木馬である。窃取するものとしては、ログイン認証情報/クレジットカード情報/個人情報などがある。それに加えて、追加のマルウェア・ペイロードをダウンロード/実行し、感染させたシステム上での永続性の確立と、C2 サーバとの通信を可能にする。
今回のキャンペーンにおいて、Rapid7 の研究者たちが注目しているのは、過去に検出された攻撃との類似点と、新たに追加された独自の手法である。
Rapid7 のブログでは、「以前に報告された AntiSpam.exe と同様に、認証情報の収集のための実行形式ファイルが使用されたことを確認している。ただし、現在は DLL 形式で配信され、rundll32.exe を介して実行されるのがデフォルトとなっている。以前は難読化されていない .NET 実行ファイルが用いられたが、現在はコンパイルされた 64 Bit DLL ローダーに取り込まれることが多い」と詳述されている。
ユーザー企業にとって必要なことは、セキュリティ対策を強化し、このような攻撃のリスクを軽減することである。具体的な対策として挙げられるのは、より強力なパスワード保護メカニズムの導入/従業員に対するセキュリティ意識向上トレーニングの実施/高度なセキュリティ・ソリューションの導入などである。
Black Basta が、大キャンペーンを展開していますが、Team の悪用やメール爆弾といった、新たな戦術が用いられているようです。つい先日の 2024/12/05 に、「英 BT Group でデータ侵害が発生:Black Basta ランサムウェア・グループが犯行を主張」という記事がポストされていますが、ここでも Teams について言及されています。よろしければ、Black Basta で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.