イランのグループMuddyWaterが、Microsoft Teamsを侵入経路として悪用する新たなサイバー攻撃キャンペーンに関連付けられました。攻撃者はMicrosoftのテクニカルサポートを装い、被害者に連絡を取り、リモートアクセスや悪意のあるソフトウェアのインストールを要求します。侵入後、認証情報や機密データを窃取し、注意をそらすために偽のランサムウェアを展開します。
なりすまし手法とリモートアクセスツール 🛠️
攻撃者はTeams上でテクニカルサポート担当者を装い、緊急のセキュリティ問題を理由に会話を開始します。その口実のもと、被害者にScreenConnectやAnyDeskなどの正規ツールのインストールを要求します。リモートコントロールを取得すると、攻撃者はシステムに保存された認証情報や業務アプリケーションのデータを抽出します。最終的に、ファイルを暗号化せず、実際の情報窃取を隠蔽するために攻撃を模擬するだけのランサムウェアを展開します。
偽のランサムウェア:他人に責任を押し付ける古典的手法 😅
何より素晴らしいのは、認証情報やデータを盗んだ後、攻撃者が親切にも偽のランサムウェアを残してくれることです。これにより、標的型侵入ではなく一般的な攻撃だと思い込ませることができます。まるで泥棒が家に侵入し、金庫を持ち去り、去り際に「隣人の仕業です」とメモを残すようなものです。少なくとも暗号化を模擬する手間はかけてくれましたが、ファイルは無傷のまま、あなたのTeamsアカウントはすでにダークウェブで販売されているでしょう。