Contents

ハッカーが正規の証明書を悪用して職場の PC に侵入

<本文>/images/hacker-certificates-abused.jpg

Microsoft Defender の専門家は、日常的な業務活動を装って企業をターゲットにしたフィッシング活動を発見しました。最近、OAuth がフィッシング攻撃に悪用されたことが確認されましたが、現在、ハッカーは正規の証明書を悪用して PC にアクセスするようになりました。

被害者は、会議の招待状、PDF、またはおなじみのダウンロード プロンプトに似た電子メールを受け取り、リンクには Microsoft Teams、Zoom、Google Meet、Adobe Reader などのアプリを更新すると主張されます。ユーザーがクリックすると、マルウェアを正規のアップデートに見せかけた偽のインストーラーとしてダウンロードが届きます。

偽の会社を通じて取得した本物の EV 証明書

このキャンペーンは、デジタル署名された悪意のあるファイルに依存しているため、一目で信頼できる層が得られます。このマルウェアには、TrustConnect Software PTY LTD という会社に発行された悪用された Extended Validation (EV) 証明書が含まれており、EV 証明書は厳格な ID チェックと強力な評判シグナルの恩恵を受ける傾向があります。

捜査当局は、攻撃者が偽の企業 ID を作成し、AI が生成した説得力のある Web サイトを構築し、ペイロードに署名するために EV 証明書を合法的に購入したため、証明書を盗んだのではないと結論付けました。

Windows 上での永続化、その後の正規の RMM ツールによるリモート アクセス

実行後、マルウェアは自身を Program Files に配置し、Windows サービスとして登録し、Run レジストリ キーを追加することにより、Windows 内での永続性を確立します。次に、エンコードされた PowerShell を起動して、ScreenConnect、Tactical RMM、Mesh Agent などの正規のリモート監視および管理ツールをインストールします。

これらのツールは実際の企業環境に現れることが多いため、攻撃者の活動が通常の IT トラフィック パターンに混ざる可能性があり、オペレーターは多くの場合、複数の RMM エージェントをインストールして、防御者が 1 つを削除してもアクセスを維持します。

MaaS の収益化と失効によって完全には解決されなかった理由

研究者らによると、攻撃者らは作戦を「Malware-as-a-Service」に移行し、署名付きマルウェアとサポートインフラストラクチャを暗号通貨で月額約300ドルでレンタルしているという。 Proofpoint と The Cert Graveyard は 2 月 6 日に EV 証明書を取り消すよう取り組みましたが、取り消しは過去にさかのぼったものではないため、その証明書ですでに署名されているマルウェアは、取り消しイベントの後でも Windows にとって有効に見える可能性があります。

DocConnect が次の進化として登場

攻撃者は、DocConnect と呼ばれる新しい亜種のテストを開始しました。これには、コントロール パネルの改善、リアルタイム通信の改善、被害者にフローを信頼させるように設計された偽の Windows Update 画面が含まれていると報告されています。

研究者らは、このキャンペーンは依然として活発であると警告し、ファイルが適切に署名されているように見えても、予期しないダウンロード プロンプトや「更新」リンクを高リスクとして扱うよう組織に求めています。

Microsoft は新しい Defender Deployment オンボーディング エクスペリエンスを発表し、研究者らは Google のセキュリティ Web サイトになりすましたフィッシング キャンペーンも発見しました。

ネオウィン経由

*️⃣ 出典リンク:

Microsoft Defender Experts、OAuth はフィッシング攻撃、新しい Defender Deployment オンボーディング エクスペリエンス、Google のセキュリティ Web サイトへの偽装に悪用されました。 Neowin