古い電子メールスレッドを乗っ取る最近の Qakbot 攻撃の注目すべき特徴

概要

• Cisco Talos インシデント対応チーム（CTIR）は、Qakbot というバンキング型トロイの木馬を配布している最近のスパム攻撃において、複数の組織から収集された古い電子メールスレッドが利用されていることを確認しました。それらのスレッドは、脆弱な Microsoft Exchange Server を標的とする 2021 年の ProxyLogon 関連の侵害において収集された可能性があると CTIR では考えています。
• この攻撃では外部スレッドを乗っ取る手法が使用されており、攻撃者は複数の組織から大量に収集した電子メールを利用し、まだ侵害を受けていない組織に対して集中的にフィッシング攻撃を仕掛けている可能性があります。スレッドを乗っ取る手法というと、より一般的なのは、侵害を受けた 1 つの組織の電子メールを利用して脅威をばら撒くというものですが、今回は違います。
• 複数の組織の電子メールを利用して 1 つの組織を攻撃するというこの手法は、これまで一般的に観察されてきた手法とはまったく異なります。これは、2020 年と 2021 年に発生した広範囲にわたる侵害の間接的影響の 1 つである可能性があります。当時、電子メールが大量に流出しました。
• この脅威を検出するためには、外部スレッドを乗っ取る手法と、侵害を受けた 1 つの組織のスレッドを乗っ取る手法との違いを理解することが重要になります。以下に、この活動の主な兆候をセキュリティ担当者が特定するのに役立つヒントをいくつか示します。

外部スレッドの乗っ取り

Cisco Talos は、外部スレッドを乗っ取る手法を使用した攻撃が行われていることを確認しました。過去、さまざまな組織から収集した電子メールを利用した攻撃です。スレッドを乗っ取る手法にはもっと一般的なものがありますが、今回はそれとは違います。一般的なのは、被害組織の Exchange Server を侵害して電子メールスレッドを取得し、攻撃に利用するという手法です。Talos が今回の手法を確認したのは 2022 年 6 月のことです。Qakbot というバンキング型トロイの木馬を配布するより広範な攻撃の一環としてこの手法が使用されていました。今回の攻撃活動で利用されたのは、2021 年の ProxyLogon 攻撃で収集された古い電子メールで、数か月前から数年前のものです。ProxyLogon は CVE-2021-26855 で追跡されている脆弱性です。この脆弱性を持つ Exchange Server が 2021 年の攻撃で標的になりました。

外部スレッドを乗っ取る手法では、被害者の環境への初期アクセスを攻撃者が確立する必要はありません。これはデジタルフォレンジックおよびインシデント対応（DFIR）の観点から注目に値します。なぜなら、フィッシングメールが送られてくる前に標的組織は攻撃者から何の侵害も受けていないからです。このフィッシングメールはその組織の本物の電子メールに対する返信となっており、電子メールスレッドにはいくつかの外部組織が連なっています。ProxyLogon の侵害で取得された電子メールが攻撃に利用されたと CTIR では考えていますが、これは電子メールのタイミングや、ProxyLogon の侵害と一般に認められている事例に対する調査など、数多くの観察に基づいています。攻撃者は、それらの電子メールの中から標的組織が送信元または宛先になっているものを選んで使用しています。

CTIR が確認した外部スレッドを乗っ取る攻撃は、次の手順で行われた可能性があります。

1. 複数のサードパーティ組織の Exchange Server や個別の受信トレイを乗っ取り、電子メールをエクスポートして後で利用できるようにします。電子メールダンプから標的組織に関連がある電子メールを選択します。攻撃者の選択プロセスを直接確認したわけではありませんが、「To」フィールドや「From」フィールドで「[@]company[.]com」の正規表現検索を行う方法が使用された可能性があります。
2. 電子メールを選択したら、スクリプトを実行して悪意のあるコンテンツを追加し、本物の各スレッドのテキストをフィッシングメールに作り変えます。
3. その後、攻撃者が管理するさまざまな外部メールボックスから、本物のスレッドにあった元のアドレス「[@]company[.]com」にフィッシングメールを送信し、フィッシング攻撃を完了します。

この手順を視覚的に表したものを下の図に示します。この図では、分かりやすくするために 1 つのサードパーティ組織のみを示していますが、Cisco Talos が確認した攻撃では、複数の外部組織から収集された電子メールが利用されていたことをお断りしておきます。

被害者のスレッドの乗っ取り

外部スレッドを乗っ取る手法が特殊であることを示すために、被害者のスレッドを乗っ取るもっと一般的な手法について簡単に説明します。2021 年から 2022 年初頭にかけて見られたのは、主に被害者の Exchange Server または個々の電子メールアカウントへのアクセスを確立することでスレッドを乗っ取るという手法でした。最近では、2022 年初頭の IcedID 攻撃でこの手法が使用されています。攻撃者は被害者の Exchange Server を侵害し、それを攻撃活動の基盤として使用しました。最近の本物の電子メールスレッドを使って悪意のある電子メールを作成し、送信するという手法です。

過去に行われた IcedID を配布する標準的なスパム攻撃では、標的組織の Exchange Server を攻撃者が乗っ取り、内部ユーザーや外部パートナーとの間のスレッドを乗っ取っていました。重要な点は、被害者の Exchange Server が、本物の電子メールスレッドを入手する目的と、悪意のある返信を送信する目的の両方に利用されていたことです。攻撃は通常、侵害の直後か、侵害から時間を置かずに行われています。

被害者のスレッドを乗っ取る攻撃の手順は次のとおりです。

1. ProxyLogon などの Exchange の脆弱性をエクスプロイトして、標的組織の Exchange Server を乗っ取ります。
2. その後、本物の電子メールを利用して返信を作成し、悪意のあるコンテンツを挿入します。次に、標的組織の Exchange Server から悪意のある返信を標的に送信します。この手順は、内部から内部へのフィッシングにも内部から外部へのフィッシングにも使用できます。
3. 電子メールの送信者、ソース、スレッドの履歴に怪しい点が見られないため、標的がリンクをクリックする可能性が高く、結果として IcedID ペイロードがシステムで実行されます。

この攻撃で配布されるマルウェアについては多数の Snort ルールと ClamAV シグネチャが提供されており、それらを導入して Qakbot の展開を検出できます。この記事は攻撃の実行プロセスを説明することを主な目的としたものですが、Qakbot に感染すると、財務データやログイン情報が標的のシステムから窃取される可能性があります。また、追加のマルウェアが C2 サーバーからロードされます。これは Snort ルールで検出して防止できます。

外部スレッドを乗っ取る手法と被害者のスレッドを乗っ取る手法の違いを明確に理解したら、次は外部スレッドが乗っ取られたことを検出する方法を理解する必要があります。特に今回の攻撃では、ProxyLogon 攻撃で収集された電子メールが利用されていますが、この攻撃をどうやって検出するかです。これは DFIR の担当者にとって非常に重要なトピックです。この攻撃手法が使用されたことを正確に識別できれば、内部 Exchange Server の詳細なフォレンジック調査を後回しにできる可能性があるからです。

セキュリティ担当者のためのヒント

外部スレッドを乗っ取る手法の主な兆候として、次の点を確認します。

• 送信者のなりすまし。この攻撃では被害者の Exchange Server に対するアクセスが確立されていないため、すべての電子メールは偽装された外部アドレスから送信されます。
• 主に 2020 年と 2021 年の古い電子メールスレッド。ただし、Cisco Talos では 2022 年 5 月の最近の電子メールスレッドを少なくとも 1 つ確認しています。これは、新たに収集された電子メールが積極的に利用されていることを示しています。
• 内部から内部へのスレッドはないか非常に少ない。電子メールは外部ソースから収集されているため、本物のコンテンツの中に、内部から内部へのスレッドはほぼないはずです。
• 返信の構造の乱れ。電子メールの本文は、本物の古いコンテンツに新しい悪意のあるコンテンツを連結した形になっています。そのため、下の例に示すように不自然な構造になっています。
• 一部の電子メールアドレスの削除。悪意のある電子メールが攻撃者のスクリプトで作成される際、本物の電子メール本文から一部の電子メールアドレスが削除されます。この様子は下の例でも示されています。
• 繰り返し使用される。複数回にわたるフィッシング攻撃で本物の同じ電子メールスレッドが何度も使用されています。

下の例は、被害者などの特定を避けるために Cisco Talos で作成したものですが、実際に確認されている外部スレッドの乗っ取りメールとあらゆる点でよく似ています。

まとめ

HAFNIUM グループなどにエクスプロイトされてきた ProxyLogon の直接的な影響は、2022 年初頭までにほぼ沈静化しました。外部スレッドを乗っ取る手法は、単一の攻撃者に固有のものとは限りませんが、2020 年と 2021 年に発生した、電子メールが大量に流出した広範囲にわたる侵害のさまざまな間接的影響の 1 つと思われます。それらの電子メールは今ではやや古くなっていますが、複数の組織から大量に収集した電子メールを利用した集中的なフィッシング攻撃が今後も展開されていく可能性があります。外部スレッドを乗っ取る手法と被害者のスレッドを乗っ取る手法の違いを正確に認識することで、インシデントを誤って評価したり、行われていない内部侵害の調査に何十時間も無駄に費やしたりするのを避けられる可能性があります。

本稿は 2022 年 07 月 27 日に Talos Group のブログに投稿された「What Talos Incident Response learned from a recent Qakbot attack hijacking old email threads」の抄訳です。