さて、話はこうだ。長年、我々はフィッシング詐欺のデジタルな泥沼をかき分けてきた。特に、常にストレスを抱える旅行者をターゲットにしたものだ。サイバー犯罪者は、請求書の偽装や怪しい配送通知といった、いつもの手口を続けるだろうと誰もが思っていた。しかし、旅行・ホスピタリティ業界に目がないことで知られるTA558は、状況をかき乱すことを選んだらしい。パンデミックによる旅行の停滞期には一時的に活動を停止していたようだが、飛行機やホテルが再び賑わいを取り戻した今、彼らは復讐心とともに、明らかに洗練された手口で戻ってきた。
以前よく見かけた、単純な悪意のあるリンクなど忘れてしまえ。連中はもう素人ではない。2018年の戦術書を引っ張り出し、それを、まあ、マルウェアで塗り替えてきたのだ。Proofpointが詳述した最新のキャンペーンは、偽の予約メールを使ったものだ。しかし、ここでひねりがある。メール内のリンクは、単に侵害されたウェブサイトに誘導するだけではない。とんでもない。それは実質的にデジタルの罠――RARおよびISOファイルへと繋がるのだ。これらは君のおじいさんが使っていたようなzipファイルではない。一度展開するためにクリックしまくると、悪質なマルウェアのバリエーションという厄介なペイロードが解き放たれる、単一の圧縮パッケージなのだ。まるで、美しい旅行パンフレットを開いたら、中身が時限爆弾だった、というようなものだ。
ここが肝心なところだ。Proofpointによると、TA558は2022年にURLへの依存度を高めており、2018年から2021年までのわずか5件と比較して27件のキャンペーンを展開している。そして、これらのURL?しばしば、ISOやRARのようなコンテナファイルに繋がり、その中には実行ファイルが潜んでいた。つまり、予約リンクをクリックし、ファイルの展開を求められ、そして――バン。君のコンピュータは、AsyncRATのような、特に巧妙なリモートアクセス型トロイの木馬に感染してしまうのだ。
予約内容をマルウェア感染ステータスにアップグレード
とはいえ、これは全くの青天の霹靂というわけではない。TA558には実績がある。2018年には、古いMicrosoft Wordの脆弱性(CVE-2017-11882)を悪用したり、リモートテンプレートURLを使って被害者を騙したりしていた。その後、PowerPointの添付ファイル、マクロが仕込まれた文書、テンプレートの注入へと移行した。19年頃には、英語の誘い文句にも手を出し始め、攻撃対象を広げた。2020年初頭は彼らにとって金の鉱脈であり、1月だけで驚異的な25件のキャンペーンを展開した。彼らは忙しかったのだ。
では、なぜ今になってRARとISOファイルに移行したのか?Microsoftが2021年後半から2022年初頭にかけて、Office製品でデフォルトでマクロを無効化したことが、おそらく原因だろう。いつものドアが閉まれば、窓を見つけるものだ。TA558にとって、ISOとRARファイルは新しい窓なのだ。
キャンペーンのペースは大幅に加速した。キャンペーンでは、Loda、Revenge RAT、AsyncRATなどのマルウェアが混在して配信された。この攻撃者は、URL、RAR添付ファイル、ISO添付ファイル、Office文書など、さまざまな配信メカニズムを使用した。
そして、我々が話しているマルウェアの種類は何か?主にリモートアクセス型トロイの木馬(RAT)だ。これらはデジタル世界における私立探偵のようなもので、攻撃者がこっそり忍び込み、データを盗み、そして決定的に、さらに多くの悪意のあるソフトウェアをダウンロードすることを可能にする。デジタルないたずらのエコシステム全体だ。
これらすべてを通して、中核となる動機は変わっていない――金だ。Proofpointは、TA558が金銭目的であると確信している。盗んだデータを使って活動を燃料とし、最終的には現金を盗むのだ。そして、旅行セクターの企業だけがリスクに晒されているわけではない。休暇やホテルを予約した人なら誰でも、潜在的に影響を受ける可能性がある。だから、そう、あの夢の休暇が、サイバーセキュリティの悪夢に変わるかもしれないのだ。
TA558の履歴
少なくとも2018年以来、TA558は旅行、ホスピタリティ、および関連業界にとって頭痛の種であり続けている。しばしばラテンアメリカに焦点を当てつつも、時折北米や西ヨーロッパにもその網を広げている。彼らの手口は一貫して、ソーシャルエンジニアリングされたメールを伴っていた。これらのメッセージは、しばしばポルトガル語またはスペイン語で書かれており、通常はホテルの予約を偽装し、件名や添付ファイル名?それはシンプルで、今では不吉な「reserva」(予約)だ。
彼らの初期のゲームは、Microsoft WordのEquation Editorの脆弱性CVE-2017-11882を悪用し、LodaやRevenge RATのようなRATをダウンロードすることだった。2019年までに、マクロが仕込まれたPowerPointスライドやテンプレートの注入で多様化していた。2020年初頭は彼らがピーク活動時期であり、驚くべき頻度でキャンペーンを繰り出していた。主にマクロ搭載のOffice文書に頼るか、既知のOffice脆弱性を悪用していた。そして今、彼らは再び進化し、実績のある方法を、より現代的で――おそらくより悪質な――配信ベクトルと交換したのだ。
この進化は絶望の兆候なのか、それとも単なる賢い適応なのか?旅行の増加とそれに伴う予約ラッシュを考えると、後者である可能性が高い。彼らはいつものように、金に繋がる道筋を追っているのだ。そして、これによって誰が利益を得るのか?まあ、AsyncRATやTA558が他に販売しているマルウェアの開発者たちは、まず第一にいるだろう。そして、攻撃者自身は明らかにそうだ。そして、もしそう呼べるなら、これらのキャンペーンを分析し、我々全員に警告してくれるセキュリティ研究者たちだ。しかし、一般の旅行者や、手一杯のホテル予約担当者にとっては、これは明らかに良いニュースではない。デジタル時代において、旅行の予約さえもハイリスクなギャンブルになりうることを、痛烈に思い起こさせるものだ。
なぜこれが開発者にとって重要なのか?
開発者、特に旅行業界向けのウェブアプリケーションやサービスに取り組んでいる人々にとって、これは強力な入力検証と安全なファイル処理の重要な必要性を浮き彫りにする。ユーザーがアップロードしたファイルタイプだけに頼るのは、破滅への道だ。考えてみてほしい。もし君の予約ポータルが、汎用的なアーカイブファイルを受け入れているなら、TA558のような脅威に、意図せず扉を開けていることになる。厳格なチェック、おそらくは処理前に添付ファイルのサーバーサイドスキャンを実装することが最優先事項だ。さらに、バックエンドスクリプトがPowerShellやバッチファイル実行に容易に脆弱にならないようにすることが鍵となる。これは単に悪党を捕まえることではない。悪意を前提とし、それから保護する、回復力のあるシステムを構築することなのだ。
実際に儲かっているのは誰か?
ノイズをかき消そう。この手の込んだ計画で誰が利益を得ているのか?主に、TA558の背後にいる影の人物たち、そしてAsyncRATのようなマルウェアの開発者である攻撃者自身だ。彼らは盗まれたデータを、おそらくは不正な市場を通じて、あるいはこれらの初期侵害に続く可能性のあるランサムウェア攻撃を通じて収益化している。二次的には、このようなキャンペーンの余波で、彼らのツールやサービスの需要が間違いなく高まるセキュリティソフトウェアのベンダーがいる。それは悲惨なサイクルだ。脅威が出現し、防御が構築され、そして新しい脅威がそれらの防御を悪用し、すべてが恐怖と保護に築かれた産業を燃料にする。最終的なユーザー、旅行者またはホスピタリティビジネスは、直接的または間接的に、ほぼ常にその費用を負担しているのだ。
TA558がRARとISOファイルに移行したのは、進化するセキュリティ対策への直接的な対応だ。これは軍拡競争であり、彼らは適応する意思があることを示している。パンデミック後の回復にすでに苦労している旅行業界は、今やさらに大きなサイバーセキュリティのハードルを乗り越えなければならない。そして、私たち消費者にとって?まあ、予約確認を再確認することが、さらに重要になっただけだ。
