PoisonSeedは、脅威キャンペーンにつけられた名前です。
あの手この手で侵害を試みる新しい攻撃キャンペーンが登場してきますが、そういったものの一つです。
- メール送信環境の侵害
攻撃の準備は、メール送信環境の侵害から開始されます。
狙われるのは、CRM(Customer Relationship Management)やメールプロバイダーです。
こういった環境には、大量の利用者情報が保持されています。
脅威アクターはこれらの環境を侵害します。
この種のサービスの利用者に対して攻撃メールを送信し、ログインページにアクセスさせます。
表示されるログインページの見た目は精巧ですが、置かれている場所は脅威アクターの管理下にあります。
ここに正規の認証情報を入力すると、その情報は脅威アクターに入手されます。 - メール送信環境のAPIキーの作成
メール送信環境の侵害を完了すると、次に実施するのはAPIキーの作成です。
これができてしまうと仮にメール送信環境のユーザのパスワードが変更されても、そのAPIキーが無効化されない限り脅威アクターはそのメール送信環境を利用できる状態に維持することができた状態になります。 - メールの一斉送信
準備は整いました。
脅威アクターは、そのメール送信環境に登録されたメールアドレス群に対して攻撃メールを送信します。
メールの内容は、暗号資産に関連したものとなっています。
ウォレットの移行が行われるというように解釈できる内容が記載されたものとなっていて、メール受信者にウォレットの操作を促す内容になっています。
メールには事情と操作内容に加えてウォレットのシードフレーズが記載されています。 - 資産の移動
通知された内容を疑っていない暗号資産の保有者は、メールの指示に従って操作を実施します。
この段階で暗号資産は元々の保有者の口座から脅威アクターの口座に移動した状態になります。
先ほどのメールに記載のあったウォレット情報はユーザの移行先のウォレットではなく、脅威アクターのウォレットだったのです。
被害者の暗号資産はすべて脅威アクターのものとなりました。
いろいろな攻撃手法があります。
いろいろな段階の被害者がいます。
手元にたどりつくいろいろな情報のどの部分が本物でどの部分が偽物なのかの判定は容易ではありません。
日々目にする情報の中には、この例にあるようななんらかの操作を促す内容も含まれている場合があるでしょう。
こういった脅威の被害者にならないためにできることの一つはその連絡内容に含まれる方法のままに従った操作を実施しないことです。
なにか実施するべき事項がある場合にはオリジナルのシステムでもなんらかの記載がされていることでしょう。
ですので、注目しているオリジナルのシステムに正規の手順でアクセスし、きっと記載されているはずのオリジナルの記載事項を探すのです。
通知されたメールなどの情報に従って操作するのは便利に感じますが、その操作の中で利用されるものが全体として正規なものであるのかの確認は容易ではありません。
面倒なことですが、安全にはかえられないと感じます。
便利な世の中になったと感じることが多いですが、それと一緒に危険もそのすぐ近くにいるということのようです。
PoisonSeed Campaign Targets CRM and Bulk Email Providers in Supply Chain Spam Operation
https://www.silentpush.com/blog/poisonseed/
| この記事をシェア |
|
|---|
