トレンドマイクロでは2021年1年間における国内外での脅威動向について分析を行いました。2021年、多くの企業や組織で急速なデジタルトランスフォーメーション(DX)が進む中、サイバー犯罪者はコロナ禍の状況に便乗し、さまざまな不正活動や攻撃の機会を捉え、新旧さまざまな脅威をもたらしました。
2021年9月、Squirrelwaffleは、スパムキャンペーンを通じて拡散される新種のローダとして登場しました。このキャンペーンは、悪意のある電子メールを既存のメールチェーンに返信する形で送信していたことで知られています。これは、不正活動に対するメール受信者の警戒心を弱めるための戦術です。これを可能にするために攻撃者は、Microsoft Exchange Serverの脆弱性である「ProxyLogon」と「ProxyShell」の双方に対する脆弱性攻撃ツール(エクスプロイト)を連鎖的に悪用していたとトレンドマイクロは推測しています。
トレンドマイクロのインシデント・レスポンスチームは、中東で発生したSquirrelwaffleに関連するいくつかの侵入事例を調査しました。トレンドマイクロは、これらの攻撃手口に上記のエクスプロイトが関与しているかどうかを確認するため、初期アクセス時の手口について掘り下げて調査しました。
今回の推測は、トレンドマイクロが観測したすべての侵入事例が「ProxyLogon」と「ProxyShell」に対して脆弱とみられるオンプレミスのMicrosoft Exchange Serverから発生していたという事実に起因しています。本ブログ記事では、これらの観測された初期アクセス時の手口と、Squirrelwaffleキャンペーンの初期段階について詳説します。
続きを読む
