Microsoft Teams を介したソーシャル・エンジニアリング：STAC5143 と STAC5777 の戦術を解析

Ransomware Groups Abuse Microsoft Services for Initial Access

2025/01/21 SecurityWeek — Sophos が警告するのは、２つの脅威グループが Microsoft 365 サービスを侵害し、Microsoft Teams デフォルト・コンフィグレーションを悪用することで、組織内のユーザーとの会話に到達したという問題である。Microsoft 365 テナントを運用する２つのハッキング・グループは、この３ヶ月間に少なくとも 15件の攻撃を仕掛け、ユーザー組織を侵害してランサムウェアを展開し、データ窃取を施行していたという可能性が生じている。

それらの攻撃者は、STAC5143 と STAC5777 として追跡されている。それぞれのグループは別々に、デフォルトの Microsoft Teams コンフィグレーションを悪用し、社内ユーザーとのチャットや会議を開始し、テクニカル サポートを装い、正規の Microsoft ツールを用いてターゲット・マシンの制御を奪ったとされる。

最初の STAC5143 攻撃は、2024年1 月に確認されたものであり、大量のスパム・メッセージから開始され、その直後には Help Desk Manager を名乗る攻撃者からの、Teams 通話が続き続いたという。

それらの通話において攻撃者は、Teams を介したリモート・スクリーン・コントロールを要求し、コマンド・シェルを開いてシステムにファイルをドロップし、マルウェアを実行していった。

攻撃者が PowerShell コマンドを実行し、ProtonVPN 実行ファイルを取得し、DLL サイドローディングの準備を済ませた１ 時間後には、Python ペイロードが展開され、一連のバックドアがインストールされ、ユーザーとネットワークを検出するための、いくつかのコマンドが実行された。

STAC5143 が用いる、Python マルウェアなどのツールと手法、FIN7／Sangria Tempest のものと類似しているが、攻撃チェーンと標的の組織は異なると、Sophos は指摘している。さらに、この脅威アクターは、Storm-1811 (別名 Black Basta) のプレイブックをコピーしているようだ。

Sophos によると、STAC5777 の方も、標的組織の従業員に対して大量のスパム・メッセージを送信し、その後に、社内の IT チーム・メンバーを装い、Teams 経由でインタラクトしてきたという。

Sophos は、「スパム・メッセージの犯人である攻撃者は、このスパム問題を解決するためと称して、Teams 通話を要求していた。しかし、当社が観察した STAC5143 のインシデントとは異なり、STAC5777 の活動は “キーボード操作” のアクションに、大きく依存していた」と述べている。

すべての記録されたインシデントにおいて脅威アクターは、Teams コールを介して従業員たちに、 Microsoft Quick Assist をインストールするよう指示した。それにより攻撃者は。リモート・アクセス・セッションを確立し、被害者のマシンを制御し、Web ブラウザーを介して悪意のペイロードをダウンロードした。

この攻撃者は悪意の DLL をドロップすることで、正規の Microsoft 実行ファイル／正規の Microsoft ライブラリ／OpenSSL Toolkit の署名されていない DLL／DAT ファイル／システム・コンフィグ情報／ユーザーの資格情報などを収集していった。

その後に偵察操作を実行した STAC5777 は、収集したユーザーの資格情報を悪用し、ネットワーク上を横方向へと移動していった。その後に確認されたのは、ローカルでファイル・アクセス／コンフィグ情報からの資格情報の抽出／標的組織のネットワーク・ダイアグラムへのアクセスなどを達成した、攻撃者のアクション履歴である。ある例では、この脅威アクターは Black Basta ランサムウェアの実行も試行したという。

Sophos は、「こうしたタイプの戦術について、従業員の認識を高めるよう、組織は取り組む必要がある。この種の侵害は、通常のフィッシング対策トレーニングで取り上げられるようなものではない。従業員にとって必要なことは、実際のテクニカル・サポート・チームを認識し、こうしたソーシャル・エンジニアリングによる攻撃が頼りにする、緊迫感の醸成を目的とした戦術への注意である」と指摘している。

用意周到に計画が練られた、ソーシャル・エンジニアリング攻撃が展開されているようです。Black Basta に関しては、2024/12/10 に「Black Basta の戦術：MS Teams の悪用とメール爆撃でマルウェアを拡散」という記事があります。言葉の問題があるので、これらの脅威アクターが、いま直ぐに日本の組織を狙うとは考えにくいですが、それも時間の問題なのかもしれません。だいぶ古い記事ですが、2021/07/13 の「フィッシングに遭った夫婦が犯人を追跡：莫大な仮想通貨の在処を見つけたが」も、とても興味深い内容です。よろしければ、カテゴリ SocialEngineering と併せて、ご参照ください。