米国のセキュリティ企業Abnormal Security(以下、Abnormal)がこのほど、Webサイトの連絡フォームを通じてBazarLoaderマルウェアを使ったサイバー攻撃を開始する新たな手法を確認したとして、注意を促している。

BazarLoaderは、侵害に成功すると被害者のPCに潜んで機密情報の盗み出しなどを行うトロイの木馬型マルウェアである。BazarLoaderの脅威アクターは、バンキング型トロイの木馬の「Trickbot」やランサムウェアの「Conti」などを開発している「WizardSpider」と呼ばれるサイバー攻撃グループと密接に関連があるとみられている。

BazarLoaderを拡散する攻撃キャンペーンとしては、電子メールのリンクや添付ファイルを利用した一般的な手法に加えて、コールセンターに電話をかけさせて偽サイトのアドレスを伝えるBazarCallと呼ばれるものや、Windows 10のアプリインストーラを悪用するものなど、さまざまな手法が確認されている。Abnormalのレポートによると、2021年12月から2022年1月にかけて確認された新しいキャンペーンでは、企業の公式サイトにある問い合わせフォームを通じて攻撃を開始する手法が使われたという。

攻撃者はまず、顧客を装って問い合わせフォームに偽の問い合わせを送り、フォローアップのための連絡を待つ。標的企業の担当者とのコンタクトに成功したら、悪意のあるファイルをダウンロードするように誘導する。この交渉には、被害者の組織のセキュリティによるブロックを回避するダウンロード方法を探すためのソーシャルエンジニアリングが含まれているという。

  • 最終的に、攻撃者は電子メールを介して被害者とのコンタクトを確立する

    最終的に、攻撃者は電子メールを介して被害者とのコンタクトを確立する

攻撃者によって共有されたファイルは、2つのコンポーネントを持つ.isoファイルだった。この2つのコンポーネントは、フォルダへのショートカットと.logファイルを装っているものの、実際にはWindowsの.lnkファイルと全く別の.logファイルである。.isoファイルによる展開は、従来のBazarLoaderキャンペーンとも類似性がある。

最初のコンタクトに連絡フォームを使うこの手法は、不自然なく連絡を送ることができること、フィルタリングなどの電子メールのセキュリティを回避することができることの2つの効果を狙ったものと推測されている。Web上のフォームを使う手法はこれまでにも確認されているが、従来は多くの人の注意を引くテーマによって不特定多数を対象に行われていたのに対して、今回は特定の標的に対して顧客を装ってコンタクトする点が大きく異なっているとのことだ。

Abnormalによるレポートには、BazarLoaderに関するより詳細な分析結果や、侵入の痕跡(IOC)などの被害の防止に役立つ情報が掲載されている。