今週気になったIT関連のニュース

2021年6月21日～2021年6月27日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• 偽のコールセンターを用意してWindowsのマルウェアを配布する攻撃手法が見つかる
• Microsoftの署名がついたマルウェアが見つかる
• 最後に

偽のコールセンターを用意してWindowsのマルウェアを配布する攻撃手法が見つかる

What

• 攻撃者はMicrosoftの偽のコールセンターになりすましてマルウェアをダウンロードさせようとする。
  • これは騙されるわ。
• 攻撃の流れ
  • 攻撃者は、トライアルサブスクリプション切れるので、継続支払いを望まない場合は指定の電話番号に電話することを促すフィッシングメールを送信する。
  • 被害者が指定された電話番号に電話すると、偽のコールセンターにつながる。
  • コールセンターから、契約を解除するためには指定のエクセルファイルをダウンロードするように指示される。
  • エクセルファイルには、マルウェアをインストールするためのマクロが含まれている。

関連記事

• Microsoft-365-Defender-Hunting-Queries
• Microsoft warns: Now attackers are using a call centre to trick you into downloading ransomware | ZDNet

Microsoftの署名がついたマルウェアが見つかる

What

• Microsoftの署名がつけられたWindowsのマルウェアが見つかった。
  • 今回見つかったのはNetfilterというネットワークドライバ。
  • マルウェアは中国のC2サーバと通信する。
  • 今回特に騒がれている理由は、このマルウェアにMicrosoftの署名がされていたこと。
• このドライバの現在の目的は、地理的な位置を偽装してゲームシステムを騙すこと。
  • しかし、キーロガーなどを導入することでアカウントの侵害が発生する可能性もあるらしい。
• マルウェアは、ゲーム内で配布されていた。
  • 東アジアでゲームをしている人をターゲットにしているらしい。

When

• 2021年3月17日 VirusTotalにNetfilterの最初のサンプルがアップロードされる
• 2021年6月25日 マルウェアを調査したブログが公開される

関連記事

• Microsoft signed a malicious Netfilter rootkit
• Microsoft admits to signing rootkit malware in supply-chain fiasco
• Hackers Trick Microsoft Into Signing Netfilter Driver Loaded With Rootkit Malware

最後に

今回気になる記事には取り上げなかったが、今週はSolarWinds関連のニュースとして「Microsoftのカスタマーサポートの端末も感染していた」という記事も多かった。

• SolarWinds Hackers Breach Microsoft Customer Support to Target its Customers
• SolarWinds hackers breach new victims, including a Microsoft support agent | Ars Technica
• Microsoft: Russia-linked SolarWinds hackers breached three new entitiesSecurity Affairs

さすが天下のMicrosoftとWindowsなので、あの手この手で狙われているな。