Googleは、Microsoft Teamsでのチャット招待と、技術サポート部門(helpdesk)の偽の通知を組み合わせて、ログイン情報を盗み、マルウェアをインストールする新しいサイバー犯罪グループについて警告を発しました。
Googleの脅威情報グループ(GTIG)によると、UNC6692という名前のハッカーグループは、巧妙な手口で大規模な攻撃キャンペーンを展開し、スパムメールによる「先制攻撃」の形で企業を標的にしました。
具体的には、攻撃者は最初に企業の従業員に大量の迷惑メールを送信し、メールボックスが過負荷になります。異常なメールを継続的に受信するため混乱した状況で、ユーザーは警戒を怠りやすくなります。その後すぐに、攻撃者はIT担当者を装い、Microsoft Teamsを通じて積極的に連絡を取り、問題解決のサポートを申し出ます。
これが内部部門であると信じて、多くの人が指示に従いました。ユーザーは、メールエラーを修正するのに役立つツールとして紹介されているリンクをクリックするように求められました。しかし、このリンクは、「Mailbox Repair Utility」という名前の偽のウェブサイトにつながり、システムチェックツールのように設計されています。
メールのログイン情報を要求された後、偽のシステムは最初の入力で意図的に誤りを報告し、再入力を要求します。このトリックにより、ユーザーは操作が正しくないと信じてしまいますが、実際にはログイン情報が収集されています。
警告によると、このすべてのデータは、Amazon Web Services S3サービスを通じてハッカーが制御するサーバーに転送されます。同時に、悪意のあるファイルもデバイスに密かにダウンロードされます。画面に「完了」という通知が表示されると、システムは実際には侵入されました。
最初にアクセス権を取得した後、ハッカーは長期的な制御を維持するためにさらに多くのツールをインストールし続けました。これらのソフトウェアを使用すると、アクティビティを監視したり、リモートでコマンドを実行したり、ユーザーが気づかないうちにスクリーンショットを撮ったり、重要なデータを盗んだりすることさえできます。
専門家は、これは技術的な抜け穴を利用するだけでなく、人間の心理と習慣を利用する「社会技術」攻撃の一種であると述べています。
それ以前にも、マイクロソフトはTeamsプラットフォームを通じて同様の詐欺キャンペーンを記録しており、テクニカルサポート部門を装う手口が使われていた。
サイバーセキュリティの専門家は、ユーザーは、仕事で慣れ親しんだチャネルから来る場合でも、ログイン情報の提供要求に特に注意する必要があると勧告しています。
