Facebookビジネスアカウントの乗っ取り攻撃、LinkedInで攻撃対象を物色

こんにちは。高橋です。
影響の大きそうな新しい攻撃のニュースが出ています。

「Facebook」のビジネスアカウントを乗っ取ることを目的としたサイバー攻撃が確認されました。

攻撃を解析したWithSecure（旧F-Secure）では「DUCKTAIL」と命名しています。

出典：ウィズセキュア

ウィズセキュア社によると、マルウェアを用いてWindowsにおける「Google Chrome」「Microsoft Edge」「Firefox」「Brave」などのブラウザよりCookieを窃取し、Facebookアカウントを乗っ取る攻撃を確認した、とのことです。

マルウェアは遅くとも2021年後半ごろより、開発、配布されており、ウィズセキュア社ではベトナム国内の攻撃者が関与していると分析しています。

金銭的な目的で攻撃を展開していると見られます。

管理職をはじめ、マーケティング、メディア、人事の担当者など、Facebookのアカウント管理権限を持っていそうなユーザーを標的としており、LinkedInで攻撃対象者を物色しているとのことです。

ドキュメント、動画、画像などとともにマルウェアの実行ファイルを含むアーカイブファイルを送りつけ、攻撃対象に開かせる標的型攻撃を展開していました。

ファイル名には、ブランドや製品、プロジェクト計画などのキーワードを用いるなどソーシャルエンジニアリングを行っており、「Dropbox」「iCloud」などクラウドサービス上にファイルがホスティングされているケースも見られます。

マルウェアは「.NET Core」でコーディングされており、単一の実行ファイルとして生成されていました。

Sectigo（旧Comodo）が発行した有効な証明書で署名されており、6月末に証明書の期限を迎えるも、その後も更新された証明書が用いられているとのことです。

マルウェアは、対象者のマシン上でブラウザをGUIが表示されないヘッドレスモードで起動し、動作環境などの情報を収集します。

くわえて正規のアクセスに見せかけることでFacebookのセキュリティ機能を回避し、Cookieや稼働環境、氏名や誕生日、メールなどユーザーに関連する情報を窃取していると見られます。

さらに広告アカウントの情報のほか、ビジネスページに新しいユーザーを追加したり、2要素認証のリカバリーコードなども取得します。

攻撃者のメールアドレスにFacebookのビジネスアカウントの権限を付与しようとしていました。