ウィズセキュア、ベトナムを拠点とする新たなサイバー脅威について注意喚起
- 2023/09/08 10:00
- SecurityInsight
ウィズセキュアは9月6日、ベトナムを拠点とする新たなサイバー脅威に関する調査レポート「DUCKPORT」を公開した。レポートでは、Meta BusinessやFacebookアカウントなどの広告エコシステムをターゲットとした攻撃が増加していると注意を喚起している。その概要は以下のとおり。
この攻撃は、ターゲットとするアカウントにアクセスできるユーザーを操作して、インフォスティーラー(情報を搾取するマルウェア)に感染させるもの。
攻撃者は、電子メールやソーシャルメディアなどを通じて共有されるルアーを使用し、ターゲットがマルウェアをダウンロードするように仕向ける。これらの攻撃において観測したルアーに共通するテーマは、トレンドトピック(ChatGPTなど)、ユーザー数の多いソフトウェア(Notepad++など)、採用関連(求人広告など)、広告プラットフォームに関する情報(Ads Managerツールなど)などだった。
感染後、マルウェアはFacebookのセッションCookieやログイン認証情報などさまざまな情報を盗み出し、攻撃者によるターゲットアカウントへのアクセスを可能にする。また、マルウェアの中にはアカウントを乗っ取り、ターゲットのマシンを経由して自動的に不正な広告を実行するものもある。
攻撃者はこれらのアカウントにアクセスすることで、恐喝、中傷、そしてターゲット企業の資金や信用を利用した詐欺広告の掲載など、金銭目的の機会を広く創出しようとしている。
レポートでは、攻撃の概要を説明するとともに、攻撃に関与していると考えられる2つのサイバー脅威についての分析を提供している。
1.DUCKTAIL
WithIntel(ウィズセキュアのリサーチ部門)が過去約1年半にわたって追跡してきた脅威。過去6か月間にDUCKTAILの活動が大幅に急増したこと、またその活動において、X(旧Twitter)の広告アカウントをターゲットにしたもの、検知を回避するための回避/反解析テクニックの利用の拡大など、複数の重要な進化が観察された。
2.DUCKPORT
WithIntelが今年3月に発見した脅威。DUCKTAILとDUCKPORTの間にはかなりの共通点が見受けられるが、別個のサイバー犯罪グループであると判断するに値する大きな相違点もまた存在する。DUCKPORT特有の機能の代表的なものとしては、スクリーンショットを撮影する機能や、C&C(コマンドアンドコントロール)チェーンの一部としてオンラインノート共有サービスを悪用する機能などが挙げられる。