新しい Zoom フィッシングが Constant Contact を悪用して SEG を回避

2020年という挑戦的な年は、多くの企業がインターネットへの依存を高め、在宅勤務の労働力にシフトすることとなりました。このような傾向は、ビデオ会議アプリの使用急増を引き起こしました。サイバー犯罪者は、この機会を逃さずに悪意ある視点を利用しました。2020年春から、彼らは多くの偽ドメインを登録し、悪意ある広告や実行可能ファイルを配信しました。さらに、ビデオ会議の「ブーム」はサイバースパイの幅広い機会も開くこととなりました。この傾向は今年も勢いを増しています。2021年1月、セキュリティ研究者は 発見しました Zoomフィッシングから利益を得ている新たなキャンペーンを。

新しいZoomフィッシング

この新しい誘引は、Zoomサポートを偽装して資格情報を盗むことを試みています。特に、ユーザーはZoomサーバーがアップグレードされたという偽のメールを受け取り、すべての顧客は通話を招待したり参加したりする能力を維持するためにアカウントを確認する必要があるとされています。このメッセージはユーザーにリンクをたどることを提案し、偽のフィッシングページにリダイレクトさせて資格情報を収集できるようになっています。すべてのメールは「Zoom – no-reply@zoom(.)us」を「差出人」フィールドに表示し、被害者にメールが実際にZoomから送信されたと思わせます。

注目すべきは、フィッシングメールがConstant Contactのメールマーケティングサービスを介して送信されたことです。ハッカーは1件のユーザーアカウントを侵害し、攻撃を拡散させていましたが、これはおそらく異なるセキュアメールゲートウェイ（SEG）を回避する試みでした。研究者たちは、この手法が少なくとも5つのSEG環境で偽のメールが検出されたことから、成功したことを確認しました。

Zoom攻撃の検出

SOC PrimeチームはZoom攻撃を注視し、迅速な検出を提供し、このような脅威からのプロアクティブな防御を確保します。以前には、 Zoomサービスの強化に関する実用ガイドをユーザー向けに公開しました。また、 ダウンロードすることもできます ほぼ2ダースのルールをThreat Detection Marketplaceから取得して、悪質なZoomドメイン、偽のインストーラー、および偽の招待からの防御を強化します。最新のフィッシングキャンペーンに特化したコミュニティルールも、非常に生産性の高いThreat Bounty開発者の一人であるOsman DemirによるThreat Detection Marketplaceですでに利用可能です：

A dedicated community rule for the latest phishing campaign is also already available at Threat Detection Marketplace thanks to Osman Demir, one of the most prolific Threat Bounty developers:

https://tdm.socprime.com/tdm/info/p8hnRPj8Vy7p/4dXzYncBmo5uvpkju4Ha/#rule-context

このルールは次のプラットフォームへの翻訳が含まれています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK: 

戦術: 初期アクセス

技術: Spearphishing Link (T1566)

動的に出現するサイバー脅威と戦う能力を強化するための最高のSOCコンテンツをお探しですか？ Threat Detection Marketplaceの無料サブスクリプションを取得し 、90,000以上のSOCコンテンツライブラリでサイバー攻撃検出の平均時間を短縮します。シグマルールを自作し、脅威ハンティングの取り組みを強化したいですか？ 弊社のThreat Bountyプログラムに参加して SOC Primeコミュニティと共にあなたの洞察を共有しましょう！