変化していくTA4557の戦術

TA4557は、以前から観測されている脅威アクターです。
いろいろな方向性の攻撃を仕掛けていますが、特にソーシャル エンジニアリングの要素を強く持つ攻撃を展開します。

TA4557はコロナ禍の期間中、多くの求人情報を必要としている人をターゲットとした活動を展開していました。
世の中の変化に伴って、求人情報を必要としている多くの人たちがいる状況の中、そんな仕事を求めている人たちがターゲットとされてしまったのです。

それから時間が経過しました。
脅威アクターの攻撃は、日々変化していきます。
TA4557の新たな攻撃が観測されています。

• ターゲット
  今回のターゲットは、仕事を求めている人たちではありません。
  その逆側、つまり、人材を募集している側の人たちです。
• 情報収集
  脅威アクターは、求人情報を収集します。
  そして、ターゲットの期待する人物像を確認します。
• 求職者を準備
  脅威アクターは、ターゲットの期待にそう内容の求職者のアバターを準備します。
  そして、そのアバターの個人ホームページを仕立てます。
• ターゲットにメールを送信
  ターゲットに求人への申し込みの内容のメールを送ります。
  フィッシングメールです。
  差出人は脅威アクターの用意したアバターとなっています。
  メール文中には、直接的に問題のある内容は、なにも含まれていません。
  マルウェアが添付されているわけではありませんし、マルウェアのローダーが添付されているわけでもありません。
  添付ファイルすらありません。
  この意味では、このメールの内容はクリーンです。
• 採用担当者との連絡の開始
  申込者のメールに応答する担当者が出てきます。
  人材を求めているのでこれは自然な流れです。
  返信を受け取ったアバターはターゲットからのメールに返信します。
• 返信メールの中のリンク
  メールの本文にはリンクが含まれています。
  そのリンクは、求職者の個人ホームページへのリンクです。
  ターゲットは、この個人ホームページのリンクをクリックすることでしょう。
• ターゲットの選別と攻撃の開始
  こうして、ターゲットは悪意あるページに到達します。
  ターゲットが攻撃に適した状態であるかを確認します。
  適合しなかった場合は、履歴書を含むページに誘導して攻撃は終了となります。
  適合する場合は、別のサイトにリダイレクトされます。
  リダイレクト先では、CAPTCHAが一旦使用され、次の段階に進むとLNKファイルを含むZIPファイルのダウンロードに進みます。
  ZIPを展開し、LNKをクリックすると、次々に攻撃が進んでいき、マルウェアが設置されます。
  各段階には、アンチサンドボックスおよびアンチ分析技術が施されていますので、検出されにくい仕上がりとなっています。
  攻撃が進む中、このアクターの得意なマルウェアの一つであるMore_Eggsバックドアも利用されます。

脅威アクターは、オンラインに投稿された特定の正当な求人情報に合わせて誘い込みます。
電子メールの口調と内容は、その攻撃者が正当な候補者であることを受信者に示唆しており、攻撃者は採用や雇用に携わる人々を特にターゲットにしているため、電子メールがすぐに不審であるとは思われません。

さらに、ソフトウェアのダウンロードなどの場合には、正規のサイトのURLであるかを確認するといったことも可能ですが、個人のホームページにおいては、そのページが正当なものであるのかを確認することは容易ではないと考えられます。
実に練られた作戦となっています。
このグループは送信者の電子メール、偽の履歴書ドメイン、インフラストラクチャを定期的に変更していますので、評判情報に頼って対応することは容易ではなさそうです。
悪意あるペイロードを送信する前に、ターゲットとの信頼関係を構築するため、この点も厄介です。
こういったタイプの脅威が存在するということを含めて、従業員教育で対応していくということになるのかもしれません。

参考記事（外部リンク）：Security Brief: TA4557 Targets Recruiters Directly via Email
www.proofpoint.com/uk/blog/threat-insight/security-brief-ta4557-targets-recruiters-directly-email