WithSecureは、「DUCKPORT」と名付けられた、ベトナムを拠点とする新たなサイバー脅威に関する調査レポートを公開した。
これによると「Meta Business」や「Facebook」アカウントなどの広告エコシステムをターゲットとした攻撃が増加しているという。
WithSecureのリサーチ部門WithSecure Intelligence(WithIntel)は、これらのプラットフォームを標的とする複数のグループを観測し、現在追跡中だという。これの攻撃は、ターゲットとするアカウントにアクセスできるユーザーを操作して、インフォスティーラー(情報を搾取するマルウェア)に感染させる。
広告プラットフォームへの攻撃のフロー
攻撃者は、電子メールやソーシャルメディアなどを通じて共有されるルアーを使用し、ターゲットがマルウェアをダウンロードするように仕向ける。WithSecureのリサーチャーがこれらの攻撃において観測したルアーに共通するテーマは、トレンドトピック(「ChatGPT」など)、ユーザー数の多いソフトウェア(「Notepad++」など)、採用関連(求人広告など)、広告プラットフォームに関する情報(「Ads Manager」ツールなど)などだった。
感染後、マルウェアはFacebookのセッションCookieやログイン認証情報などさまざまな情報を盗み出し、攻撃者によるターゲットアカウントへのアクセスを可能にするという。
また、マルウェアの中にはアカウントを乗っ取り、ターゲットのマシンを経由して自動的に不正な広告を実行するものもある。攻撃者はこれらのアカウントにアクセスすることで、恐喝、中傷、そしてターゲット企業の資金や信用を利用した詐欺広告の掲載など、金銭目的の機会を広く創出している。
レポートでは、攻撃の概要説明とともに、攻撃に関与していると考えられる2つのサイバー脅威についての分析が示された。
1つは「DUCKTAIL」で、リサーチャーたちは、過去6カ月間にこの脅威が大幅に急増したこと、またその活動において、「X」(旧「Twitter」)の広告アカウントをターゲットにしたもの、検知を回避するための回避/反解析テクニックの利用の拡大など、複数の重要な進化が観察されたという。
DUCKTAILによる攻撃数の推移
2つ目がDUCKPORTで、同社リサーチ部門が3月に発見した。DUCKTAILとDUCKPORTの間にはかなりの共通点が見られるが、別個のサイバー犯罪グループであると判断するに値する大きな相違点もまた存在するという。DUCKPORT特有の機能の代表的なものとしては、スクリーンショットを撮影する機能や、コマンドアンドコントロール(C&C)チェーンの一部としてオンラインノート共有サービスを悪用する機能などが挙げられる。
同社では、これらの脅威は、類似する複数の攻撃グループが関与しており、この分野で活動する攻撃グループ間での一定レベルの関与があるとしている。またさまざまな攻撃グループは、共通の人材プールから専門的なナレッジを収集し、より効果的な攻撃戦略のためのツールやインサイトの共有を目的に、情報共有のグループを組んで活動している可能性があるという。さらに、サービスとしてのランサムウェア(RaaS)のような専門サービスを提供する仲介業者が関与する可能性も無視できないとしている。
