脅威ハンティングコンテンツ: Zoom招待を使用したフィッシングキャンペーン

Zoomをテーマにした誘いは、サイバー犯罪者によって積極的に使用され続けており、フィッシングキャンペーンで最も使用されるトピックのトップ10に堂々と位置しています。ロックダウンの初期からZoomの人気が高まるにつれて攻撃の数も増加し、研究者がサービスの重大なセキュリティ問題を発見した後でも、多くの組織はそれを使用することを拒否しませんでした。

この問題について、以前に発行したのが Zoomサービス強化のための実用的なガイドで、悪質なドメインや偽のインストーラーなどを検出するためのルールがThreat Detection Marketplaceに十数個以上すでにあります。ルールのリストは こちら.

今日、私たちのThreat Hunting Contentコラムでは、コミュニティルールを提出した Osman Demir によって、Zoom招待を使用したフィッシングキャンペーンを検出します： https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

Cofenseの研究者たちが 観察したのは、 新しいフィッシングキャンペーンで、ビデオ会議への招待を装ってユーザーからMicrosoft資格情報を入手しようとするものです。キャンペーンは主に、テレカンファレンスやそのサービスの利用を伴うメールに不慣れなリモートワーカーを対象としており、いくつかのユーザーは家のオフィス環境が整っておらず、モニターも十分に良くない環境で仕事をしているため、メールをしっかり確認するのが難しいかもしれません。メール自体は正規の通信を彷彿とさせるもので、青いZoomロゴと、ユーザーに参加を促すビデオ会議の漠然とした言及、それに関連する招待状を確認するためのリンクが含まれています；それは目立たず、文法上の誤りもほぼありません。

このルールには以下のプラットフォーム向けの翻訳があります：

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio,

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 初期アクセス

技術: スピアフィッシングリンク (T1192)