Microsoft Teamsはチャットやビデオ会議、ファイル共有などビジネスシーンに必要な機能を備えたプラットフォームでMicrosoft365と連携しているサービスだということです。マイクロソフトが最近発表したレポートによると、今年7月以降、同社がStorm―0324として追跡している金銭目的のグループがMicrosoft Teams のチャットを通じてフィッシングルアーを送信している実態があるようです。
JSSLoaderを配布する初期アクセスブローカー
マイクロソフトによると、Storm―0324はTA543 や Sagridとして追跡されている脅威グループと重複しているということです。また、マイクロソフトは最近、脅威グループを天気にもとづいた分類に変更しており、Storm―0324はDEV-0324として追跡していたグループと同一だいうことです。この脅威グループは自らがランサムウェア攻撃をするのではなく、初期アクセスを確立してランサムウェア攻撃につながるマルウェアを配布して攻撃グループに引き渡す、いわゆる初期アクセスブローカーと呼ばれているサイバー犯罪グループに位置づけられているようです。
Storm―0324は、Nymaim、Gozi、Trickbot、Gootkit、Dridex、Sage、GandCrab、IcedIDといったマルウェアを配布していたということですが、2019年以降は主にJSSLoader を配布し、配布した後はランサムウェア攻撃者のSangria Tempest に引き渡すようになったということです。JSSLoader マルウェアが配布されると、Sangria Tempestに引き継がれて Sangria TempestのツールがJSSLoaderを使って投下される流れです。
マイクロソフトの言うSangria Tempestとは、Fin7と呼ばれている脅威グループと同一とみられます。この脅威グループは、アメリカの小売り、レストラン、ホスピタリティ業界などを標的に2013年から活動を続けている金銭を目的としたグループで、もともと企業の財務データやPOSシステムへの攻撃を手がけていたグループですが、2020年以降はランサムウェアによる攻撃へと手法を変化させました。REvil、DarkSide、BlackMatter、Alphvなどのランサムウェアとの関係が指摘されています。
公開されたツールTeams Phisherが悪用される
マイクロソフトなどによると今年7月以降、Storm-0324 はTeams Phisherと呼ばれる公開されているPython ベースのツールを悪用してMicrosoft Teams のチャットを通じてフィッシングルアーを送信しているということです。マイクロソフトは「これらのフィッシングキャンペーンを非常に真剣に受け止めており、これらの脅威に対する防御を強化するためにいくつかの改善を実施した」としています。特定のアカウントとテナントを停止したことに加えて、テナント内でのドメイン作成に関する新たな制限の導入など複数の機能強化を図ったということです。
また、Microsoft製品のログを集約してインシデント情報を一元的に管理できるクラウドネイティブのセキュリティ情報イベント管理(SIEM)サービスのMicrosoft Sentinel を導入している顧客に対しては、TI マッピング分析を使用することで悪意のあるドメインインジケーターをワークスペース内のデータと自動的に照合することができるとしています。また、Microsoft Sentinel には、Microsoft 365 Defender による検出リストに加えて、悪用後のアクティビティを検出するために使用できる、さまざまな脅威ハンティングコンテンツがあるということです。
■出典