セキュリティ分析ソリューションを提供しているIntezerが3月22日(米国時間)、公式ブログ「New Conversation Hijacking Campaign Delivering IcedID」において、「IcedID」と呼ばれるマルウェアを配布する新しい電子メールフィッシングキャンペーンを確認したと伝えている。
IcedIDは、侵害に成功するとPC内に潜んで機密情報の盗み出しなどを行うトロイの木馬型マルウェアの一種である。機能は悪名高いEmotetマルウェアと似ており、他のマルウェアをダウンロードして感染させたり、被害者のメールアカウントを利用して新たな標的にフィッシングメールを送ったりするなどの機能も持っている。
Intezerの分析によれば、今回確認されたキャンペーンでは、Microsoft Exchange Serverの既知の脆弱性を悪用して被害者のメールアカウントで「スレッドハイジャック」を行う手法が用いられているとのこと。フィッシングメールは、すでにメールのやり取りしている知人からの返信の形をとって送られてくるため、受信したユーザーが無条件に信頼してしまう可能性が高くなる。
フィッシングメールにはパスワード付きのzipファイルが添付されており、これを解凍すると中に含まれたWindows LNKファイルおよびDLLファイルがロードされて、侵害を開始する。
攻撃に悪用可能なExchange Serverの脆弱性はすでに修正パッチがリリースされているものの、3月中旬に確認されたこのキャンペーンは、まだパッチを適用していない脆弱なExchange Serverを標的として行われた模様だ。
Intezerのレポートには、今回のフィッシングキャンペーンに関するより詳細な分析や、攻撃に利用されたIcedIDに関する侵害の痕跡(IoC)などの情報が掲載されている。