新しいQuishing攻撃はGreatness PhaaSに関連している

トッド・スタンスフィールドとVadeのセキュリティアナリストが寄稿

10月 31 2023

1 分で読める

Vadeの研究者は、ここ数か月でQuishing攻撃が大幅に増加していることに気づきました。QRishingまたはQR Codeフィッシングとも呼ばれるQuishing攻撃は、ハッカー、中でもMicrosoft 365のユーザーをターゲットとするハッカーの間で流行している脅威です。

最近、Vadeの研究者は、Vadeが以前に報告した脅威であるサービスとしてのフィッシング(PhaaS)Greatnessに関連している可能性のあるQuishing キャンペーンを発見しました。また、それらから、Greatnessのコードに関連付けたり、それを利用したり、または再利用したりする脅威アクターがセキュリティ対策をすり抜ける方法がいかに進化したかを読み取れるかもしれません。

この記事では、アナリストの調査結果を明らかにします。

Greatnessの証拠?

攻撃者のオペレーティングモードの詳細は明らかにされていませんが、ハッカーは侵害されたアカウントを使って正当なメールアドレスからQuishingキャンペーンを送信しました。攻撃者はファイルの命名を管理し、より信頼性のあるものに見せかけるために評価の高い命名規則を使用します。

filename: letter_[redacted_firstname]_[redacted_lastname] _[redacted_company_name]_fr.jpg

QR Codeから以下の悪意のあるURLを抽出できます(これは当社によって無害化されています)。

hxxps[://]*****club[.]com[.]pk/wpincludes/fonts/?username=cmVkYWN0ZWRfZW1haWxAZXhhbXBsZS5jb20=

ドメインは通常、フィッシングキットに関係しているファイルをホストするために使われる、侵害されたWordPress Webサイト (2023年5月16日に公開されたバージョン5.8.7)に関連しています。対象となるユーザーのメールアドレスは、URLを通じてパラメータとして渡されます。

以下は、偽のMicrosoft 365のログインページを表示する前に、Microsoft Officeドキュメントの読み込みを装ったランディングページのプレビューです。

Quishing攻撃--ランディングページのプレビュー

ランディングページのプレビュー

以下は、URLが無害化されたランディングページのHTMLソースコードです。

Quishing攻撃--HTMLソースコード

以下はデコードされたBase64の文字列です。

Quishing攻撃--デコードされたBase64の文字列

このファイルは、別の侵害されたWebサイトである*****s24[.]commf.phpから取得されました。

CTA Vade - Q3 2023 Phishing malware Report JP (1)

 

「サイバー脅威の分析」で紹介されているように、パスの一部から/admin/js/ Greatnessの足跡につながる別の手がかりを得られます。「Greatness」サービスとしてのフィッシング(PhaaS)。さらに、mf.php以下のスニペットからファイルを識別することができました9576366.php

Quishing攻撃--mf.phpのスニペット

その内部に9576366.php、以下の要素を確認できます。

Quishing攻撃--9576366.phpのスニペット

9576366.phpのスニペット

これらの要素は、Trellixがフィッシング攻撃の分析で特定した要素と類似しています。

Quishing攻撃--TrellixのスニペットとVadeのスニペットのコード比較

TrellixのスニペットとVadeのスニペットのコード比較

Trellixによると、当初、悪意のある認証ページは HTMLファイルが添付されたメールで配信されていました。

Quishing攻撃--HTMLの添付ファイルのプレビュー-Trellixからのスクリーンショット

HTMLの添付ファイルのプレビュー-Trellixのスクリーンショット

以下は、Trellixが発見した初期のHTML添付ファイルの亜種です。

Quishing攻撃--初期のHTMLの添付ファイルの亜種-Trellix のスクリーンショット

初期のHTMLの添付ファイルの亜種-Trellix のスクリーンショット

以下に示すように、企業をターゲットとした悪意のあるキャンペーンを分析しているときに、この亜種に気づきました。

Quishing攻撃--ソースコードのプレビュー‐HTMLの添付ファイル1--Vade

ソースコードのプレビュー‐HTMLの添付ファイル1--Vade

Quishing攻撃--ソースコードのプレビュー‐HTMLの添付ファイル2--Vade

ソースコードのプレビュー‐HTMLの添付ファイル2--Vade

Quishing攻撃--ソースコードのプレビュー‐HTMLの添付ファイル3--Vade

ソースコードのプレビュー‐HTMLの添付ファイル3--Vade

Greatnessから新しいQuishing攻撃までの侵害指標を比較すると、顕著な類似点が見つかります。

Quishing攻撃--侵害指標の比較

侵害指標の比較

Quishing攻撃--スニペットの比較

スニペットの比較

ファイルの分析に戻るとmf.php、以下のコードから他の手がかりを得られます。

Quishing攻撃--mf.phpコード

2023年4月にGreatness Phishing Kitに関してランディ・マケオインが行った分析から、中央API、Telegramトークン、アンチボットとブロックリスト、自動取得を使ったものを含む同様のコンポーネントと機能に気づきました。

Quishing攻撃--Greatnessのコンポーネントと機能‐rmceoinのスクリーンショット

Greatnessのコンポーネントと機能‐rmceoinのスクリーンショット

このコードは新しいものではありません。コードのトラックは8か月前にサブレディットに投稿されましたr/asknetsec

Quishing攻撃--Redditの件名:credフィッシング攻撃で発見されたこのJSの難読化の解除を手伝える人はいますか?

Redditの件名:credフィッシング攻撃で発見されたこのJSの難読化の解除を手伝える人はいますか?

Quishing攻撃に関連した分析の結果、Greatnessと関連している、またはGreatnessを使用する(あるいはGreatnessのコードを再利用する)脅威アクターは、HTMLの添付ファイルではなくQR Codeを利用してセキュリティメカニズムをすり抜けていると考えられます。

Quishing攻撃:重要なポイント

Quishingは新しい脅威ではありません。 しかし、ハッカーの間で人気が再燃しているようです。2023年10月にVadeは、DocuSignにスプーフィングしてフランスの企業を標的にしたQuishingのキャンペーンを発見しました。この例は、Vadeの研究者が過去数か月間に観察した多くの事例の中の一つです。

JPG添付ファイルのプレビュー

JPG添付ファイルのプレビュー

2023年第3 四半期のフィッシングおよびマルウェア レポートで報告されているように、QuishingはQR Codeの読み取り/検出機能を備えていないメールフィルタによる検出をすり抜ける可能性があります。

Quishingから身を守るために、私たちは組織やユーザに対し、QR Codeが組み込まれたメールに遭遇した場合は常に警戒するよう警告しています。安全のためのヒントをいくつか紹介します。

  • リダイレクトをタップする前に、QR Codeをスキャンするときに表示されるURL通知を必ず確認してください。
  • 機密情報の共有は控えてください。
  • 個人を特定できる情報(PII)の提供を求められた場合は、十分に注意してください。この情報を要求するWebサイトは注意深く調べてください。
  • 特にスマートフォンでは、QR Codeを介して利用できるセキュリティアプリケーションをインストールしないでください。

 

CTA Vade - Q3 2023 Phishing malware Report JP (1)