ワールドカップに向け増加したアラブ諸国への電子メール サイバー攻撃について注意喚起

図1
図1

11月20日から中東・アラブ地域で初の開催となる世界的サッカートーナメントに、世界中の注目が集まっていますが、悪意ある攻撃者たちはすでにワールドカップをテーマにしたサイバー攻撃を開始しています。Trellix Advanced Research Centerのメールセキュリティ研究者は、攻撃者がFIFAやサッカーをテーマにしたキャンペーンを利用して、アラブ諸国の組織を標的にしていることを発見しました。攻撃者は、重要で人気のあるイベントをソーシャルエンジニアリング手法の一部として利用し、特にイベントに関連し、より有望な攻撃対象である組織をターゲットにするのが一般的なやり方となっています。

図 2
図 2 – アラブ諸国における悪意のある電子メール数

上のグラフに見られるように、アラブ諸国における悪意のある電子メールの量は、10月に100%増加したことが確認されています。開催国や関連機関がイベントの準備を進める中、攻撃者は従業員の多忙なスケジュールを利用し、ヒューマンエラーや被害者が攻撃経路と接触する可能性を高めています。このような攻撃の目的は、金銭詐欺、クレデンシャルハーベスティング*、データ流出、監視、国や組織の評判へのダメージなど、さまざまです。

*標的を欺くことによって、資格情報(ログインパスワードなど)を盗み取る攻撃


悪意ある電子メール

Trellix Advanced Research Centerの研究者は、サッカー大会を最初の攻撃ベクトルとして利用した様々なメールをキャッチしました。以下は、実際に発見されたサンプルの事例です。

  • サンプル 1: FIFA TMSヘルプデスクを装い、メール本文に二要素認証の解除に関する偽の警告通知を表示し、ユーザーをフィッシングページにリダイレクトさせるハイパーリンクが含まれています。
  • サンプル 2: オークランドシティFCのチームマネージャーであるDavid Firisuaになりすまし、FIFAに関連して受信者のアカウントに行われた支払の確認を求めます。また、信頼できるブランドのカスタマイズされたフィッシングページへのハイパーリンクが含まれています。
  • サンプル 3: FIFAのチケットオフィスになりすまし、被害者が緊急に解決しなければならない支払い問題を伝えます。また、ユーザーをカスタマイズされたフィッシングページにリダイレクトさせるhtmlの添付ファイルが含まれています。
  • サンプル 4: FIFAが実施する新規選手登録の禁止について、法的な通知を装い、被害者に緊急性を伝えます。この通知には、ユーザーをカスタマイズされたフィッシングページにリダイレクトさせるhtmlの添付ファイルも含まれています。
  • サンプル 5: WeTransferのテンプレートに設定された偽のファイル通知。これは、Players Status Departmentになりすまし、被害者に遅延した訴訟費用に関する法的通知を送信しようとするものです。マルウェアを配信する、またはフィッシングページをホストする悪意のあるウェブサイトへユーザーをリダイレクトするリンクが含まれています。
  • サンプル 6: ワールドカップの公式フードデリバリーパートナーであるSnoonuになりすまし、登録者に偽の無料チケットを提供します。このサイトには、悪意のあるxlsmの添付ファイルが含まれています。このような信頼できる組織名とそのテンプレートが使用されているため、ユーザーは簡単にこのような攻撃に引っかかってしまうのです。

これらは、私たちが見つけたキャンペーンのほんの一部です。Trellix Email Security は、複数のキャンペーンを検出し、これらのキャンペーンに関連するあらゆる種類の侵害や損失からユーザーを保護することができました。

図 3.1 – サッカーをテーマにした悪意のある電子メール図 3.2 – サッカーをテーマにした悪意のある電子メール

 

図 3.3 – サッカーをテーマにした悪意のある電子メール図 3.4 – サッカーをテーマにした悪意のある電子メール

 

図 3.5 – サッカーをテーマにした悪意のある電子メール図 3.6 – サッカーをテーマにした悪意のある電子メール
図3 サッカーをテーマにした悪意のあるメール

悪意のあるURL

Trellix Email Securityがキャッチしたトーナメントをテーマにしたフィッシングページのうち、実際に流通しているものをご紹介します。

  • 本物に見えるカスタマイズされたページや、なりすまして正規のページを装ったページ:被害者が不審な活動を認識するのを困難にします。
  • 複数のフィッシングキットの使い回し:投稿URLが難読化されていたり、Base64でエンコードされている、あるいはフォームのアクションタグの代わりにajaxリクエストの中に存在している等。
  • 認証情報は、攻撃者が管理するサーバーでホストされている PHP スクリプトに送信されます。
図 4.1 – サッカーをテーマにした悪意のある電子メール図 4.2 – サッカーをテーマにした悪意のある電子メール

図 4.1 – サッカーをテーマにした悪意のある電子メール
図4 トーナメントをテーマにした悪意のある URL


マルウェア

Trellixのソリューションでは、アラブ諸国を標的としたいくつかのマルウェアファミリーを確認しています。攻撃量に基づく上位5つのマルウェアファミリーは以下の通りです。

  • Qakbot: バックドア機能を持つ情報窃取型およびバンキング型トロイの木馬。他の感染被害者の不正なアカウントを使用して、既存の電子メールの会話の途中に悪意のある返信を挿入します。
  • Emotet: 主にフィッシングメールの添付ファイルやリンクを介して拡散され、クリックするとペイロードが起動する高度なトロイの木馬です。その目的は、海外のデバイスにアクセスし、機密データをスパイすることです。
  • Formbook: Webブラウザーにキャッシュされた資格情報、スクリーンショット、キーストロークなど、感染したシステムからさまざまな種類のデータを盗むために使用されるインフォスティーラーマルウェア。また、ダウンローダとしても機能し、追加の悪意のあるファイルをダウンロードして実行できるようにします。
  • Remcos: コンピューターを遠隔操作するために使用されるリモートアクセスソフトウェアで、インストールされると、コンピューターにバックドアを開き、リモートユーザーにフルアクセスを許可します。
  • QuadAgent: PowerShell バックドアで、OilRigグループが標的のマシンを攻撃するために使用する別のツールです。

図 5 – サッカーをテーマにした悪意のあるメール
図5 アラブ諸国を標的にするために使用された上位 5 つのマルウェアファミリー


侵害の兆候(IoC)

このリンク先のPDFに、アラブ諸国を標的とした最近のキャンペーンで使用された悪意のある URL、バイナリ、および電子メール アドレスの例が含まれています。


Trellixの保護

Trellix Email Security は、メールがシステムに到達するのを防ぐことにより、このようなキャンペーンからの信頼性の高い検知を提供します。さらに、Trellixはネットワーク、URL、バイナリなどの他のレベルでもキャンペーンを検知し、お客様に完全な保護を提供します。

以下は、このようなキャンペーンを検出するために作成された多くのルールの一部です。

  • FE_Trojan_HTM_Phish_246
  • Phishing_Null_Content_33
  • Phishing_Qbot
  • Phishing_Qbot_Zip_Expiry

まとめ

待望のサッカートーナメントに際し、サイバー犯罪者は、ニュースのトレンド、チケットの需要、多忙による人的ミスなど、あらゆる機会を利用してサイバー攻撃を仕掛けてくることが予想されます。このような攻撃は2023年1月まで続くと予想され、皆様には攻撃のベクトルに常に注意を払うことをお勧めします。また、イベントに直接関連する組織は、このような攻撃の最も有望なターゲットとなるため、特に警戒することをお勧めします。

本記事およびここに含まれる情報は、啓蒙目的およびTrellixの顧客の利便性のみを目的としてコンピュータ セキュリティの研究について説明しています。Trellixは、脆弱性合理的開示ポリシーに基づいて調査を実施しています。記載されている活動の一部または全部を再現する試みについては、ユーザーの責任において行われるものとし、Trellixおよびその関連会社はいかなる責任も負わないものとします

※本ページの内容は2022年11月17日(US時間)更新の以下のTrellix Storiesの内容です。
原文:Email Cyberattacks on Arab Countries Rise in Lead to Global Football Tournament
著者:Daksh KapurSparsh Jain