迷惑メール起点のサポート詐欺が流行か　Rapid7が詳細な手口を報告：セキュリティニュースアラート

　Rapid7は2024年4月下旬以降にこの新しいソーシャルエンジニアリングキャンペーンを観測した。この攻撃はユーザーにスパムメールを送信するところから始まる。送信される電子メールは全世界の組織から送られるサインアップ確認メールを流用している。

　次に脅威アクターはITチームのメンバーを装って影響を受けたユーザーに電話をかけ、電子メールの問題に対するサポートの提供を開始する。脅威アクターは電話をかけたユーザーごとに正規のリモート監視および管理ソリューションを使用し、ユーザーのPCに侵入する。Rapid7はこの過程で「AnyDesk」や「Windows」のリモートサポートユーティリティー「クイックアシスト」が悪用されたことを確認している。

　脅威アクターはリモートアクセスツールによる侵入の試みに失敗すると、すぐに別のユーザーに標的を変更して同様のソーシャルエンジニアリングを実施している。

　ユーザーのPCへの侵入に成功すると、脅威アクターは一連のバッチファイルを実行し、OpenSSHによる通信のセットアップ、Windowsレジストリーキーを介した永続性の確立、アカウント情報の窃取、SMB経由で横方向への移動などを試みる。

　Rapid7の調査によると、データ流出やランサムウェアの展開は確認されていないという。しかしフォレンジック分析の結果、その痕跡からランサムウェアグループ「Black Basta」に類似していると指摘されている。

　Rapid7はサイバー攻撃の被害者にならないように、インストールされている全てのリモート監視および管理ソリューションの環境をベースライン化し、「AppLocker」や「Microsoft Defender Application Control」などのアプリケーション許可リストソリューションを利用して承認されていない全てのリモート監視および管理ソリューションが環境内で実行されないようにブロックすることを推奨している。

　クイックアシストはAppLockerを使用して実行をブロックできる。Rapid7は全ての未承認のリモート監視および管理ソリューションに関連するドメインをブロックすることを推奨している。

　この他、Rapid7はソーシャルエンジニアリング攻撃を特定して防止するために確立されたITチャネルと通信方法をユーザーが認識できるようにすることを推奨している。社内のITスタッフを装った不審な電話やテキストを報告できる権限をユーザーに付与することもアドバイスしている。