良いニュース
今週、Office 365アカウントを標的にしたビジネスメール侵害詐欺が現行犯で阻止されました。昨年、BECすなわちメールアカウント侵害はインターネット関連犯罪における最大の損害を発生させました。詐欺犯はCOVID-19をおとりとして利用して6つのインターネットドメインを通じてフィッシングトラフィックを操作し、そしてWebアプリを使用して被害者のOffice 365アカウントの認証情報を入手しようとしていました。
Webアプリの使用は新しい手口です。クローンされた偽のログインページを使用する代わりに、犯人は被害者にWebアプリがアカウントにアクセスするのに同意するよう求めていました。一度アカウントの乗っ取りが完了すると、攻撃者はそれを詐欺の一環として使用し、自分に送金することをビジネスリーダーに承認させようとします。
62カ国以上で行われたとされるこの詐欺事件では、以下に示す悪質なドメインを使用し、現在Microsoftが差し押さえています。
officeinventorys.com officesuitesoft.com officehnoc.com officesuited.com officemtr.com mailitdaemon.com
今週の他の良いニュースによると、macOSセキュリティコミュニティはパブリックトレント経由で配布され、クラッキングされたソフトウェアに隠れていたランサムウェア/スティーラーを分離しました。「EvilQuest」や「ThiefQuest」と呼ばれるマルウェア作成者は、フォアグラウンドでファイルを暗号化して身代金を要求する一方で、バックグラウンドでデータを静かに盗むというWindowsの世界で見られる同様の成功モデルをマネしたかったのかもしれません。
SentinelLabsはEvilQuest/ThiefQuestマルウェアが使用する対照的暗号化を破り、パブリック複合器をリリースしました。また、脅威アクターが資金を集めるためにセットアップしたBitcoinアドレスがまだ一度も取引を記録していないのも良い点として挙げられるでしょうか。しかし、個別のデータ盗難やバックドアコンポーネントが機密データを持ち去り、デバイスが適切に対処されていない場合いまだにアクティブである可能性があるため、マルウェアは被害者にとっては引き続き心配の種です。
悪いニュース
今週発行されたレポートによると、操作技術システムへの、USBリムーバブルメディアを使ったサイバー攻撃は、過去12か月で倍増しています。このレポートで調査した業界ロケーションの約半分が、業界プロセスコントロールネットワークを標的にした脅威を少なくとも1件は検知していると述べています。また、このレポートは引き続きUSBデバイスが普及していて、攻撃ベクトルとして使用されていることを強調しています。報告された攻撃の20%は、リムーバブルストレージデバイスから発生していると言われています。攻撃者の目標の中でも特に関心が集まっているのは、バックドアを開き、永続的なリモートアクセスを確立し、そして悪質なペイロードをさらに配布することです。
USB発の脅威増加は、デバイスからデバイスに偶発的に転送されるマルウェアが原因ではないと言われていますが、これはむしろDisttrack、Duqu、Ekans、IndustroyerおよびUSBCulpritなどのように「意図的に連携する攻撃の結果であり、OTシステムを標的にしてUSBデバイスを活用しています。本レポートは、あらゆる企業のセキュリティチームにソフトウェア定義のUSBデバイスといったリムーバブルディスクを管理することが重要であると注意喚起することを意図しています。
醜いニュース
最後の報告では、地球の人口は約78億人ですが、その倍ほどの認証情報が盗まれ、ハッカーフォーラムで流通しています。ダークネットの新しい監査によると、そのうちの50億が重複ではなく固有のものです。100,000件以上のデータ漏洩の結果、大量のデータキャッシュがリスクにさらされました。これは恐るべき件数のセキュリティ障害で、一考に値します。
このような認証情報はアカウント用で、ソーシャルメディアやストリーミング、VPN、ゲームサイトから銀行、金融サービス、さらには管理者アカウントまでカバーしています。例えば、他人のオンラインバンキングアカウントへのアクセスを購入しようとしている犯罪者は、ダークネットで$500までなら支払うかもしれません。ドメイン管理者アカウントはオークションの最高額入札者に数千ドルから10万ドルで売りに出されます。
オンライン認証情報の盗難やアカウント乗っ取りは流行していますが、サイバー犯罪者はボットネットを使った大量フィッシングへの関与や認証情報窃盗マルウェアの投下、認証情報スタッフィング、総当たり攻撃などの手口を使ったパスワードの盗難をおこなっています。このレポートが強調するように、犯罪者は今やCookieやIPアドレス、タイムゾーンなどのデジタルフィンガープリントデータへのアクセスを収集して、売却しています。そのため、盗まれた認証情報は疑わしいログインアラートを作動させることなく使用できます。Genesis Market、UnderWorld MarketおよびTenebrisなどのダークネットマーケットは、他のサイバー犯罪者のアカウントで侵害されたアカウントに期間限定でアクセスするために賃貸で提供される場所として注目を集めています。これらはマネーロンダリングやメール受信、商品購入などの特定の目的で使用することができます。
複数の研究者によると、平均的な人はパスワードを必要とするほぼ200種類のオンラインサービスを利用します。多くのユーザーは基本的なパスワードセキュリティを認識しておらず、また多くの組織がデータ漏洩を阻止できないため、150億という数字はわずか数年後には小さな変化に思えるかもしれません。