###
スカウティング
2020年4月末、Doctor Webのウイルスアナリストはロシアの燃料・エネルギー企業の従業員に対して偽のファイルが添付されたメールを送信するフィッシングキャンペーンを検出しました。これらのメールには更新された電話帳を装った".docx"ファイルが添付されており、リモートリソースから2つの画像がダウンロードされます。
画像の1つは news[.]zannews[.]com からユーザーのコンピュータにアップロードされます。このドメイン名はカザフスタンの汚職防止メディアセンターのもの(zannews[.]kz)と似ているという点は注目に値します。さらに、このドメインは TOPNEWS として知られる2015年に起こった有名なフィッシングキャンペーンを直ちに想起させます。このフィッシングキャンペーンでは ICEFOG バックドアが使用され、トロイの木馬のC&Cのドメイン名には「news」サブストリングが含まれていました。もう一つの興味深い特徴は、異なる受信者に送信されたフィッシングメールでは、画像のダウンロードリクエストにそれぞれ異なるリクエストパラメータやユニークな画像名が使用されているという点です。これは、情報を収集して、次の攻撃でフィッシングメールを確実に開く「信頼できる」受信者を特定するためであると考えられます。2つ目のサーバーからの画像のダウンロードにはSMBプロトコルが使用されています。これは、受信したドキュメントを開いてしまった従業員のコンピューターから NetNTLM ハッシュを収集するためであると考えられます。
詳細は以下をご覧ください。
リンク
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。
