PDF 添付ファイルを開く前に、埋め込まれたリンクを確認してください

最近のProofpointの研究者による報告によると、イランに関連するTA450ハッカー（MuddyWater、Static Kitten、Mango Sandstormとも呼ばれる）は、フィッシングキャンペーンでPDF添付ファイルに埋め込まれたリンクを使用した、支払い関連のソーシャルエンジニアリングの誘惑を利用したとされています。

フィッシングキャンペーンは2024年3月7日に始まり、2024年3月11日まで続きました。この期間中、TA450は悪意のあるリンクを含むPDF添付ファイルを持つメールを送信しました。これはTA450ハッカーにとって珍しい方法ではなく、以前はメール本文に直接悪意のあるリンクを追加していました。

今回は、検出されにくくするために追加のステップを加えました。この方法でも悪意のあるリンクを使用しましたが、少し異なる技術を採用しました。同じ被害者に対して悪意のあるPDF添付ファイルと他の埋め込まれたリンクを含む複数のフィッシングメールを送信しました。

リンクはOnehub、TeraBox、Egnyte、Syncなどのいくつかのファイル共有ウェブサイトに誘導し、研究者はメールも侵害されている可能性があると疑っています。

被害者が添付ファイルを開いてリンクをクリックすると、圧縮されたMSIを含むZipアーカイブファイルがダウンロードされ、TA450が悪用するリモート管理ソフトウェアAteraAgentがインストールされます。
インストールされると、このソフトウェアはTA450に被害者のデバイスへのアクセスを許可し、データの盗難やその他の悪意のある行為につながります。

この方法は、大手多国籍企業のターゲットとなったイスラエルの従業員に対して効果的に機能し、ハッカーグループは2023年10月以降、イスラエル・ハマス戦争の開始とともに特にイスラエルの組織を標的にしてきました。

キャンペーンの成功は、誘惑の内容に一致する送信者のメールアカウントを使用したことに部分的に起因しており、これによりこれらのフィッシングメールの信頼性が高まっています。

これはグループがこの方法を使用した初めてのケースであり、攻撃の洗練さのエスカレーションを示すものであり、一般のユーザーが見分けるのが非常に難しくなっています。

影響を考慮すると、同じターゲットに複数のフィッシングメールを送信することで、成功した侵入の可能性が高まります。

他の新しい攻撃も浮上しました。あるキャンペーンは、被害者を欺くためにOfficeのトリックを使用し、Perception Pointがそれを発見しました。詳細はここで読むことができます。

リスクが高まり、攻撃の洗練さが増す中、私たちユーザーは、未承諾のメールや文書を開く際には常に注意を払う必要があります。また、セキュリティ研究者は、これらのタイプの攻撃に対してより積極的に警戒する必要があります。

この件についてのあなたの考えは何ですか？以下のコメントセクションで読者と意見を共有してください。