サポート詐欺(サポ詐欺)といえば「あなたのPCがウイルスに感染しています!」的な偽メッセージが出てきて、リモートで作業してくれる何者かにお金払っちゃうやつ。
今回はこのサポ詐欺でリモート操作の際に、C2サーバと通信するマルウェアをインストールしたという事例。
サポート詐欺は個人だけを標的にしているが、企業のPCのコントロールを取得した際もその端末の利用者だけをターゲットにするのは不自然だなぁと思っていた。
なぜなら企業のPCを捉えたなら、企業の内部情報や重要サーバの情報などもっと資産価値の高いものを狙えるから。
そんなことを考えていたら、やはり「サポ詐欺」×「高度な攻撃(C2エージェントの展開)」というのがあったという話。
サポ詐欺から始まるサイバー攻撃
サポート詐欺と言えば
改めて、サポート詐欺(サポ詐欺)といえば、
「あなたのPCがウイルスに感染しています!解決するにはここに電話して[電話番号]」
的な偽メッセージが出てきて、けたたましく警告音みたいな音がなったり、危険っていうのを主張して怖がらせて焦らせてくる。
そして、その電話番号に電話をかけると何だか日本語の怪しい人が電話に出て「私はマイクロソフトのITサポートチームのメンバーです。」的なことを言ってくる。
「サポートチームの証拠にこれが社員証です。」とか、「この名前」で検索してみてくださいと言ってマイクロソフト社員を主張してくる。ちなみに、個人的感覚では「マイク・ミラー」さんの出現率が一番高い。
電話すると「AnyDesk」、「LogMeIn Rescue」とかをインストールしてと言われてITサポートを名乗る何者かがコンピュータをリモートで操作してウイルスを除去してくれるという話になる。
「ウイルス除去しているうちにお金を用意しておいてください。支払いのために、コンビニでGoogle PlayカードかiTunesカードを買ってきてください。」と指示され、コンピュータをつけっぱなしで買いに行っている間にパソコン内を探索される。
戻ってくると、Google PlayカードかiTunesカードのコードを入力するように指示され支払いが完了する。ここまで、ウイルスに感染しているのは嘘だし、ウイルス除去の作業なんて何もしていない。
という感じでリモートで作業してくれる何者かにお金払っちゃうやつのが、「サポート詐欺」。
さて、「Google PlayカードかiTunesカードを買ってきて」というのは第一世代?的な感じで、第二世代?は「ネットバンキング」で支払わせる。
画面共有中にネットバンキングにログインさせて、指定した金額を支払うように指示。
この際、攻撃者は支払額入力時に画面操作で勝手に金額を増やしたり、そもそもネットバンキングにログインするところ監視しているので勝手にログインする。
これによって被害金額が大きく増加することとなった。
最近は、ネットバンキングのユーザIDとパスワードさえ分かれば2段階認証をバイパスしたり、仮想通貨も狙ったり、ブラウザに保存された個人情報から被害者を様々な方法で脅迫したりとさらに怖いことになっている。
ただし、サポート詐欺はランサムウェア攻撃と違ってリテラシーレベルが様々な個人がひっかかるので、変なことも起きるようだ。
前に聞いたのは、リモートアクセスされている間にネットバンキングにログインさせたが送金にワンタイムコードが必要となった際の話。残念ながら、被害者はワンタイムコードというものが何か分からず、サポ詐欺攻撃者は苛立った結果諦めたという話があった。
サポート詐欺は攻撃用マニュアルがかなりしっかりしているとのことだが、相手のデジタルディバイドが想像以上に酷いと対応しきれなさそう。
今回の事例のサポート詐欺
さて、今回のサポート詐欺の始まりはスパムメールらしい。
まず、攻撃者は被害者のメールアドレスにスパムをとにかく沢山送る。
そして、ITサポートを装って「スパムメールに困っていないか」、「多数のスパムメールが検知されたから調査が必要」というようなメールやSMSメッセージを送る。
こうして、Microsoftに似せたページに移動させコマンドを実行させたり、ファイルをダウンロードさせたりするようだ。
日本でよくあるようなサポート詐欺とは異なるが「ウイルスに感染しています!」だけがサポート詐欺の入り口ではなく、「不正アクセスを検知しました」的なものから電話させたりITサポートが始まったりする手口は日本でもある。
こうして、インストールされるのはRMMだけではなくC2サーバと通信するマルウェアであるC2エージェントも含まれていた。
C2エージェントのローダー
C2エージェントを実行するといっても、単純に実行するだけだと直ぐ検知される。
なので、EDRやEPPなどに検知されにくくするための工夫があったという事が報告されている。
といっても、今回の例は攻撃者に使われることが多いHavoc C2のデフォルト機能を使っていたように見える。つまり、オープンソースのHavocでも使い方によっては適当なEPPは回避できるということかも。
github.com
これだけ超よく知られたC2のHavocの機能をそのままで検知されにくいとは考えにくいが、EDRは検知回避できなくてもEPP系は回避できるかもなぁとも思う。
ちなみに、Havoc標準搭載らしいC2エージェント実行のために使用された技術?ツール?は、Hell's Gate、Halos's Gate、Indirect Syscall、KaynLdr。
EDRのWinAPIフックを回避するためにメモリ上を解析してシステムコールを呼び出す命令形式を検索してSSN(システムコール番号ともいう)を動的抽出するのがHell's Gate、EDRがフックしたことで命令形式を少し改変しているとHell's Gateで抽出できないという難点を少し解決したのがHalos's Gate、そして直接システムコール呼び出しは怪しいのでntdllから呼び出しているようにみせかけるIndirect Syscallを組み合わせている。
ここら辺、アンチウイルス回避のプロセスインジェクション系が実際にどういう感じで使われるのかっていうのは、そのうちまとめて紹介するのでお楽しみに。
今回使用されたRMMツール(リモートアクセスソフト)
今回攻撃者がITサポート?用にインストールしたRMMは、Level RMMとXEOXというものらしい。
level.io
これらRMMを使用して、攻撃者はC2エージェントをインストールした。
ここで見たRMMは初めましてだし、世界にはまだ見ぬRMMが沢山あるんだろうなぁ。
いやー、AnyDesk、LogMeIn Rescue、TeamViewerくらいを完全ブロックすれば攻撃に使われるRMMは大体防げるかと思っていたのは幻想だったかぁ。
と思っていたら、攻撃に使用されるRMMまとめページがあった。
lolbasやlolesxiに続く、lolシリーズはまだまだあるんですな。
サポ詐欺と高度な攻撃の組み合わせはありそうであんまりないイメージ
サポート詐欺ってランサムウェア攻撃者と組み合わせたらとんでもないことになると想定はしていた。
やっぱり、サポート詐欺って明らかにリテラシーが低い個人に向けて企業ネットワークに簡単に侵入できる方法なのでヤバイ。
これまで事例を見たことが無かったが、公開情報からBlack Bastaは2024年から電話、Teams等々で連絡を取ってRMMをインストールするのをやってる感じ?
New Black Basta Social Engineering Scheme
Black Basta Ransomware Campaign Drops Zbot, DarkGate, & Custom Malware | Rapid7 Blog
Sophos MDR tracks two ransomware campaigns using “email bombing,” Microsoft Teams “vishing” | SOPHOS
Black Basta and Cactus Ransomware Groups Add BackConnect Malware to Their Arsenal | Trend Micro (US)
BlackSuit Escalates Social Engineering Attacks Amid Black Pasta Rift | Rapid7 Blog
サポート詐欺で何も調査しなくても大丈夫ですか?
「サポート詐欺なんて、ただの詐欺でしょ?」っていうくらいの認識の方々は未だ多い。
ちゃんとしているところは、10人以下の情報漏洩でも、サポート詐欺があったことだけでも公開している。
サポート詐欺は、かなりの大きな企業・小さな企業・官公庁・公共施設様々なところで大量に発生している。
さて、既にサポート詐欺でランサムウェア被害と繋がっている事例はあるのですが、本当にちゃんと調査しなくて大丈夫ですか?
