返信メールにZIP圧縮されたHTMLファイル、NTLMv2ハッシュ盗む新たな攻撃
マイナビニュース2024年3月6日(水)17時41分
Proofpointは3月4日(米国時間)、「TA577’s Unusual Attack Chain Leads to NTLM Data Theft |Proofpoint US」において、NTLM(NT LAN Manager)の認証情報を窃取する新しい攻撃手法を確認したと伝えた。この攻撃を実行した脅威アクターは「TA577」とされ、NTLM認証情報を窃取するために同じ手法を使用した2つのキャンペーンを実施したとされる。
○新しい攻撃手法
Proofpointによると、脅威アクターは「スレッドハイジャック」と呼ばれる窃取したメールに返信する手法を用い、標的に「返信メール」として表示される悪意のあるメールを送信する。このメールにはZIP圧縮されたHTMLファイルが添付されており、HTMLファイルを開くとテキストファイルのファイルスキームURI(file://)へのリダイレクト(metaタグのRefresh機能)を介して、SMB(Server Message Block)サーバへの接続が試行される。接続先は脅威アクターが管理する外部サーバーのため、接続を試行した段階でNTLMv2ハッシュが窃取される。
この脅威アクターの管理する外部サーバからはマルウェアの配信が確認されておらず、脅威アクターはNTLMv2ハッシュの取得を目的として攻撃したものとみられている。また、この攻撃手段が新しいと評価できる点は、HTMLファイルをZIP圧縮した点にあるという。
ProofpointによるとファイルスキームURIをメール本文に記載した攻撃は2023年7月のパッチにて修正されており、HTMLファイルを一旦保存して実行させることでこの修正パッチを回避したものとみられている。
○対策
Proofpointはこの件以外にもファイルスキームURIを使用して外部のSMBやWebDAVなどのファイル共有サーバに誘導し、マルウェア配信用のリモートコンテンツにアクセスさせる複数の攻撃の増加を確認したとしている。そのため、今回のキャンペーンや外部リソースへのアクセスを悪用する攻撃を防止する方法として、ネットワーク管理者には外部へのSMB接続をブロックする対策の実施が推奨されている。
また、Proofpointはこの件の調査で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
○新しい攻撃手法
Proofpointによると、脅威アクターは「スレッドハイジャック」と呼ばれる窃取したメールに返信する手法を用い、標的に「返信メール」として表示される悪意のあるメールを送信する。このメールにはZIP圧縮されたHTMLファイルが添付されており、HTMLファイルを開くとテキストファイルのファイルスキームURI(file://)へのリダイレクト(metaタグのRefresh機能)を介して、SMB(Server Message Block)サーバへの接続が試行される。接続先は脅威アクターが管理する外部サーバーのため、接続を試行した段階でNTLMv2ハッシュが窃取される。
この脅威アクターの管理する外部サーバからはマルウェアの配信が確認されておらず、脅威アクターはNTLMv2ハッシュの取得を目的として攻撃したものとみられている。また、この攻撃手段が新しいと評価できる点は、HTMLファイルをZIP圧縮した点にあるという。
ProofpointによるとファイルスキームURIをメール本文に記載した攻撃は2023年7月のパッチにて修正されており、HTMLファイルを一旦保存して実行させることでこの修正パッチを回避したものとみられている。
○対策
Proofpointはこの件以外にもファイルスキームURIを使用して外部のSMBやWebDAVなどのファイル共有サーバに誘導し、マルウェア配信用のリモートコンテンツにアクセスさせる複数の攻撃の増加を確認したとしている。そのため、今回のキャンペーンや外部リソースへのアクセスを悪用する攻撃を防止する方法として、ネットワーク管理者には外部へのSMB接続をブロックする対策の実施が推奨されている。
また、Proofpointはこの件の調査で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
「攻撃」をもっと詳しく
「攻撃」のニュース
-
北村匠海「何年経っても攻撃は止むことはない」 誹謗中傷被害に悲痛「傷つける為に言葉を使わないで」5月23日15時19分
-
【カップルの長続きの秘訣】彼の誘いの上手な断り方!5月23日11時0分
-
パレスチナ人10人死亡、イスラエル軍のヨルダン川西岸攻撃で5月23日5時21分
-
ガザにルーツ14歳、攻撃停止を 福岡で会見「関係ない人が犠牲」5月22日20時59分
-
攻撃強化を画策のインテル、ニューカッスル10番にオファー準備?5月22日14時35分
-
【5/30(木)開催】サプライチェーンを狙ったサイバー攻撃をテーマにウェビナーを開催5月22日12時46分
-
イスラエル軍、ガザ北部ジャバリアで病院攻撃 南部ラファも空爆5月22日12時12分
-
サイバー攻撃「水責め」の恐怖、G7も襲ったDDoS攻撃を解説【後編】5月22日7時0分
-
「走者進める」優先の阿部野球、7回の攻撃は成功例…内野安打で出塁・二盗・送りバント・犠飛で生還5月22日6時0分
-
阿部監督「ピッチャーは責められません」 山崎伊の8回続投は「攻撃陣を信じて引っ張った」も12残塁5月21日23時2分
ITニュースランキング
-
1こ、これは……! “富士山ローソン”を迷惑かけず撮影できる!? “持ち運べるローソン”が「天才現る」「商品化して」と話題 ねとらぼ
-
2『HUNTERHUNTER』の冨樫義博がXで怒り 立て続く“誤配”で「三度目です」「次はもう知らん」 ねとらぼ
-
3スクエニの不調は“FF”の新作に現れていた? ゲーム好きマンガ家が抱いた違和感 ITmedia NEWS
-
4「夢ありすぎ」 日本に“たった7人”しかいない「切手デザイナー」の新規募集スタート 募集は“7年振り” ねとらぼ
-
5バッファローが一部Wi-Fiルーターで注意喚起、bot感染増加を受け パスワード変更やファームウェア更新を ITmedia NEWS