CryptoCoreハッカーがPassword Managerアカウントを標的とする

CryptoCore Targets Password Manager Accounts

昨日、サイバーセキュリティ企業のClearSkyは CryptoCoreと呼ばれるハッキンググループに関するレポートを公開ました。危険なパスワードとリーリータートルとしても知られているこのギャングは、東ヨーロッパにいるとされており、その行動には他の警備隊も続いています。ただし、ClearSkyの専門家は、CryptoCoreの運用は当初の見積もりよりもはるかに大きいと考えています。彼らは2018年5月以来、乗組員はなんとか2億ドルもの違法な利益を上げてきたと考えています。昨日のレポートは、それがどうやってそれを成し遂げたかにいくつかの光を投げかけています。

偵察

CryptoCoreの被害者は、ほぼすべて暗号通貨取引所とそれを扱う企業です。実際の攻撃を実行する前に、ハッカーは長い偵察プロセスを実行します。このプロセスは、標的とする上位の従業員を特定し、可能な限り多くの情報を収集し、場合によっては個人の電子メールアカウントを侵害することからなります。 。

ClearSkyによると、個人の電子メールに対する攻撃は簡単に阻止できますが、さらに重要なことには、優れた情報源を提供し、ハッカーが標的の企業の受信トレイを侵害するのを助けることができます。実際の攻撃チェーンは、実績のあるテクニックと新しい革新的なトリックの組み合わせであり、ClearSkyの推定利益が2億ドルである場合、明らかにかなりうまく機能します。

ソーシャルエンジニアリング

攻撃は、洗練度の異なるスピアフィッシングメールから始まります。場合によっては、メッセージが疑わしいように見えたり、奇妙な場所に配置されたコンマを除外したりします。文法とソーシャルエンジニアリングの両方の点でほぼ完璧です。

ほとんどの攻撃では、暗号通貨取引所の幹部は、リンクをクリックすることで、仕事に関連する重要なドキュメントにアクセスできるようになります。 CryptoCoreは、Googleドライブなどの人気のあるオンラインプラットフォームに似たドメイン名を多用します。一部の攻撃では、ハッカーはHTMLを使用して、悪意のあるURLを正当に見えるリンクの背後に隠します。ハッカーはまた、URL短縮サービスを使用しました。これは、検出を回避するのに役立つだけでなく、そのスキームに何人の犠牲者が落ちるのかを彼らに知らせるためです。

クリックスルーするターゲットは、2つのファイルを含むアーカイブをダウンロードします。 1つ目は、パスワードで保護されたPDF、DOCX、またはXLSXファイルで、メールの本文に記載されている仕事関連のドキュメントであると考えられます。被害者は、ロックを解除するパスワードがアーカイブの2番目のファイルである「password.txt」に格納されていると信じ込ませます。

ただし、より注意深い受信者は、password.txtファイルに実際には二重の拡張子があることに気付く場合があります。そのフルネームは「password.txt.lnk」であり、実際の攻撃が始まる場所です。

攻撃

LNKファイルは通常のWindowsショートカットであり、他のサイバー犯罪者集団によっても使用されています。 CryptoCoreのLNKファイルは、Command and Controlサーバー(C&C)に接続し、攻撃の次の段階に進む悪意のあるVBSコードにリンクしています。被害者が賢明でないことを確認するために、スクリプトは、約束されたパスワードのように見えるものを含むTXTファイルをダウンロードして開きます。

ただし、バックグラウンドでは、ペイロードをダウンロードして%temp%フォルダーに格納し、PCが起動するたびにマルウェアが確実に起動するように、スタートアップディレクトリに別のVBSファイルを配置します。

強盗

すでに述べたように、CryptoCoreの攻撃は暗号通貨取引所の主要な従業員を標的としています。つまり、通常のユーザーがこの特定のキャンペーンの影響を受ける可能性は低いということです。しかし、これは人々がそれに注意を払うべきではないという意味ではありません。

ClearSkyの専門家はCryptoCoreの攻撃で使用された特定のツールを挙げていませんが、サイバー犯罪者は被害者のパスワードマネージャーアカウントを狙っていると述べています。そこでは、ハッカーは何百万もの価値のあるデジタルコインを取引所のアクティブなウォレットから、自分が管理するアドレスにリダイレクトするために必要な情報を見つけます。

侵入の実際のメカニズムは依然として不明であり、特定のパスワード管理アプリケーションが標的にされているかどうかについての情報はありません。しかし、盗まれた暗号通貨は攻撃が成功したことを証明し、一部のユーザーのパスワードマネージャーに対する疑惑を引き起こす可能性があります。それは完全に不当です。

パスワードマネージャーは、ログインデータを整理して保存するための最良のツールであり、これについては誰もが疑う余地はありません。残念ながら、パスワードマネージャーの防御でさえ、ユーザー側の不十分なサイバーセキュリティ衛生により弱体化する可能性があります。マスターパスワードは強力で長く、非常にユニークでなければならず、一部のパスワードマネージャーが提供する2要素認証などの追加のセキュリティ機能を利用する必要があることを覚えておく必要があります。 CryptoCoreの攻撃に関する技術的な詳細はないかもしれませんが、それらはすべて、ユーザーがメールのリンクをクリックすることに依存していることもわかっています。これは、誰もが受信トレイ内のメッセージの処理を開始する時期であることを示しています。健康的な量の疑惑。

June 25, 2020

返信を残す