Microsoft Teams をテーマにしたフィッシングキャンペーンがリモートアクセスを提供
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
アクティブなフィッシングキャンペーンが、Microsoft Teamsをテーマにした誘いを使用して、正規のリモートアクセスツールを配布し、不正アクセスを試みています。被害者は、生産性向上サービスを装った不正なランディングページに誘導され、悪意のあるインストーラーをダウンロードさせられます。この作戦は、侵害された正当なウェブサイトと攻撃者が制御するクラウドホスティングの両方を利用する二重のインフラ戦略を採用しています。
調査
調査により、ソーシャルエンジニアリングを利用してソフトウェアをダウンロードさせる多様なテーマのキャンペーンが特定されました。分析により、小規模企業のウェブサイトが侵害され、専用のCloudflareホスティングサービスが構成されていることが明らかになりました。実行後の活動には、サービスのインストールを介してシステムに深く統合したり、LSA認証パッケージの登録、COMオブジェクトのハイジャックによる持続的アクセスが含まれます。
緩和
組織はフィッシングに耐性のあるMFAとアプリケーションの許可リストを実装して、無許可のソフトウェアインストールを制限するべきです。セキュリティチームは、異常なWindowsサービスの作成、LSA認証パッケージの変更、SafeModeレジストリの変更を監視するべきです。ユーザーに対しては、予期しないコラボレーションプラットフォーム通知を確認するためのトレーニングを特に行うべきです。
対応
検出時に、組織はさらなる側方移動を防ぐため、影響を受けたエンドポイントを隔離するべきです。すべての持続化メカニズム、カスタムのクレデンシャルプロバイダやCOMオブジェクトを特定し除去するための法医学的レビューを行うべきです。影響を受けたすべてのユーザーアカウントに対する包括的なクレデンシャルのリセットが強く推奨されます。
"flowchart TD step_initial_access["最初のアクセス: T1566.002 u2013 フィッシング: Microsoft Teams通知を模倣したスピアフィッシングリンク"] step_drive_by["T1189 u2013 ドライブバイ妥協を誘発する不正なランディングページでインストーラーをダウンロード促進"] step_user_execution["ユーザー実行: T1204.002 u2013 不正なファイル; システムチェック(T1497.001)と実行遅延(T1678)を含む"] step_execution_injection["T1055 u2013 プロセスインジェクション: COMオブジェクトの登録とリモートアクセスツールの使用(T1219)"] rules_for_execution_injection("<b>ルール名</b>: 異常なトップレベルドメイン(TLD)DNSリクエストによる疑わしいコマンド & コントロール (via dns)<br/><b>ルールID</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["持続性: T1543.003 (Windowsサービス), T1547.002 (起動/ログオン自動開始), T1546.015 (COMハイジャック)"] step_credential_access["クレデンシャルアクセス: T1556 u2013 認証プロセスの改変によるログオン時の資格情報の傍受"] step_initial_access –>|leads_to| step_drive_by step_drive_by –>|leads_to| step_user_execution step_user_execution –>|leads_to| step_execution_injection step_execution_injection –>|leads_to| step_persistence step_persistence –>|leads_to| step_credential_access step_execution_injection -.->|detected_by| rules_for_execution_injection "
攻撃フロー
シミュレーション実行
前提条件: テレメトリ & ベースラインの事前飛行チェックが成功していること。
根拠: このセクションでは、検出ルールをトリガーするために、対抗者の技術(TTP)が正確に実行されることを詳細に示しています。コマンドとナラティブは、識別されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目的としています。
-
攻撃のストーリー & コマンド: 敵対者は、Microsoft Teamsをテーマにしたフィッシングメールを配信し、悪意のあるリンクを含む
.msiパッケージです。ユーザーがパッケージを実行すると、msiexec.exeが隠れたバックドアをインストールするためのパラメータで呼び出されます。持続性を達成するために、インストーラーはrundll32.exeを呼び出してカスタムDLLを読み込み、新しいシステムサービスを登録します。コマンドラインには具体的にサービスという文字列が含まれており、脅威インテリジェンスレポートで説明されている動作を模倣して、検出ルールをトリガーします。 -
回帰テストスクリプト:
# 検出ルールをトリガーするシミュレーションスクリプト # 目標: 'サービス'を含むコマンドラインでmsiexecまたはrundll32を実行 Write-Host "[+] シミュレーション開始: MSI/Rundll32サービス検出をトリガー" -ForegroundColor Cyan # シナリオ 1: msiexec.exe によるトリガー Write-Host "[+] シナリオ1: 'サービス'キーワードでmsiexecを実行中..." -ForegroundColor Yellow Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait # シナリオ 2: rundll32.exe によるトリガー Write-Host "[+] シナリオ2: 'サービス'キーワードでrundll32.exeを実行中..." -ForegroundColor Yellow Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait Write-Host "[+] シミュレーション完了." -ForegroundColor Green -
クリーンアップコマンド:
# シミュレーションスクリプトでは既存のシステムバイナリと非破壊的引数を使用したため、永続的な変更は行われませんでした。 # クリーンアップは不要です。 Write-Host "[+] クリーンアップ: 作成されたアーティファクトはありません。" -ForegroundColor Cyan