偽のボイスメールキャンペーンサイバー攻撃の検出: 新しい古いフィッシング攻撃が米国を襲う

新たなフィッシングキャンペーンが増加しており、米国の幅広い業界や組織に影響を与えています。セキュリティ、ヘルスケア、製薬業界、軍事、製造供給チェーンなどの重要なインフラを含みます。この詐欺は2022年5月に米国全体で広がり始め、現在も続いています。ターゲットは、新しいボイスメールが添付されているとするフィッシング通知メールを受け取りますが、実際は悪意のあるHTML添付ファイルを隠しています。被害者候補がそれをダブルクリックすると、Office365とOutlookの資格情報を狙うフィッシングサイトにリダイレクトされます。

新しいフィッシング詐欺の検出

会社のインフラを保護し、感染を防ぐために、 Sigmaルール がThreat Bounty Programのトップ開発者の一人によってリリースされました Osman Demir:

米国の組織を標的とする疑わしい偽ボイスメールフィッシングキャンペーン (プロキシ経由) – 2022年6月

脅威ハンティングの取り組みに参加し、あなたの検出コンテンツを共有したいですか？私たちの Threat Bounty Program に参加して安全な未来を実現しましょう！先月、そのメンバーは 184のユニークな検出 をSOC PrimeのDetection as Codeプラットフォームに提供しました。貢献者の一人として、継続的な報酬を得るチャンスを逃さないでください。

このルールは MITRE ATT&CK®フレームワーク v.10. に準拠しており、初期アクセス戦術に対するフィッシング（T1566; T1566.002）技法に対応しています。この検出には以下のSIEM、EDR & XDRプラットフォームに対する翻訳があります：Microsoft Sentinel、Microsoft APT、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Securonix、Qualys、Apache Kafka ksqlDB、Open Distro、AWS OpenSearch。

フィッシング事件の増加とその深刻化が攻撃の表面を拡大し、影響を受けるユーザーの数を増加させています。これおよび他の脅威に対する検出コンテンツの最新情報を把握するためには、SOC Primeプラットフォームに登録してください。その Detect & Hunt ボタンは、25以上のSIEM、EDR、XDRソリューションに翻訳された膨大な数のSigmaとYARAルールのライブラリへあなたを案内します。まだアカウントをお持ちでないですか？ SOC Primeの検索エンジンで、サイバー脅威の完全なコンテキスト、MITRE ATT&CKのリファレンス、Sigmaルールを瞬時に発見するために Explore Threat Context ボタンをクリックしてください。

Detect & Hunt Explore Threat Context

ボイスメールをテーマにしたフィッシング詐欺の説明

“新しいものはよく忘れられた古いものである” – 当記事が詳細に扱うボイスメールをテーマにしたフィッシング詐欺のモットーです。先月始まったこのフィッシングキャンペーンは、2020年夏中頃に活発だった非常に類似のものを基にしています。セキュリティ研究者 ZScaler の報告です。 今年、このクラウドセキュリティ会社がターゲットとなったため、その攻撃の結果、脅威についての詳細な解説を発表しました。

研究データによると、このキャンペーンは大規模な企業に所属する米国ユーザーをターゲットにしており、Office 365の資格情報を盗むことを目的としています。このキャンペーンを行うハッカーは、日本のメールサービスを使用して通信を転送し、送信者のアドレスを偽装し、メールが標的企業の内部から来たかのように見せ掛け、より信頼性を高めようとしています。これらのフィッシング通知には偽のボイスメールが添付されており、ターゲットが偽のボイスメールを開くと、実際にはエンコードされたJavaScriptを含む悪意のあるHTML添付ファイルであり、被害者をフィッシングサイトに誘導します。まず、ターゲットユーザーは自動化されたURL分析アルゴリズムを回避し、全体的な信頼性の見せ掛けを強化するために設計されたCAPTCHAチェックにリダイレクトされます。CAPTCHAチェックを通過すると、被害者は正規のMicrosoftサインインを模倣したページにたどり着きます。この段階で、攻撃者が必要なのは被害者が自分の資格情報を正しく入力することだけです。すると、ターゲットの資格情報が成功裏に収集されます。

準備ができていますか、 SOC Primeのプラットフォーム を探索し、Detection as Code の実働を確認するために？無料でサインアップして、185,000以上のユニークなハンティングクエリ、パーサー、SOC対応ダッシュボード、Sigma、YARA、Snortのキュレートされたルール、および25の市場をリードするSIEM、EDR、XDRテクノロジーに合わせたインシデントレスポンスプレイブックにアクセスしましょう。