FBIからの発表によると、ランサムウェアで名高いロシアのハッカー集団「FIN7」が、過去数カ月に渡り、米国の複数の企業へランサムウェアが仕組まれたUSBメモリを送付していたことが明らかにされました。
2021年8月からFBIで確認されたこの犯罪は、運輸、保険、防衛産業に従事する複数の米国企業へ米国郵政公社(US Postal Service)および、UPSによって「Lily Go」というメーカーのUSBメモリを物理的に送付する形で行われました。
送付されたものには、2つのバリエーションがあり、ひとつは米国保険社会福祉省からの差し出しに詐称し「USBメモリ内のCOVID-19ガイドラインを参照するように」と指示された紙とUSBメモリ。もうひとつは、Amazonからの送付を模したもので詐欺的な礼状、偽造ギフトカードと共に、このUSBメモリが同梱されていたものです。
このUSBをパソコンに装着すると、BadUSB攻撃として知られている方法を用いて攻撃をしかけます。このUSBメモリは、USB大容量ストレージ装置として認識されず、キーボードとしてパソコンに自動的に認識されデバイス登録されます。そして、予めこの装置に仕込まれていた文字列をキーボードからの入力として装着したパソコンにて実行します。
これらのキーストロークにより、Powershellコマンドが実行され、攻撃者のバックドアとして機能する様々なマルウェアをダウンロードします。実行後マルウェアは、まずは横方向へと同一ネットワーク内の他端末への感染を試みます。
その後、FIN7の活動員は、Metasploit、Cobalt Strike、PowerShellスクリプト、Carbanak、GRIFFON、DICELOADER、TIRIONなどのさまざまなツールを使用し、侵害したネットワークにBlackMatter や REvilなどのランサムウェアを残しました。
FBIは、2021年11月に米国の防衛産業企業も標的されたことを確認し事態を重く受け止めました。FBIは、FIN7が悪意あるUSBメモリを送付したことを公にして社会に注意喚起するのは、これが2度目となります。
FBIが最初に発したのは2020年3月で、セキュリティ企業Trustwaveより報告された接客企業に送付されたBadUSBの通報を受けてのものでした。
USBメモリと思われるものを接続したら、それはUSBメモリではなく攻撃手法かもしれません。いまどきUSBを送付してくる企業は殆どありません。USBメモリを受領したら利用前に送付先へ確認の電話を怠らず、また不審なものはまずは所轄の警察署へ届け出てください。日本でもこの攻撃が確認される日はそう遠くないでしょう。
なお、PC Maticは、Pwershellスクリプトコマンドを通じたファイルダウンロードはデホルト拒否設定されているため、こうしたマルウェアのダウンロード行為は一切行われません。ご安心ください。しかし過信は禁物です。万が一ダウンロードされても、全ファイルをデジタルフォレンジックにてパスするまで起動許可されないアプリケーションホワイトリスト方式であるため安全です。
【2021/01/10深夜追記】米国のPC Matic PRO法人顧客が、このBadUSBを受領し端末に挿入したことが判明しましたが、Powershellスクリプトによるダウンロードが拒否されていることがEDRにて確認されました。しかしこのBadUSB攻撃の技術を用いて、今後はキーボードのファームウェアに、この攻撃がしかけられることを懸念しています。「パソコンを購入したらゲーミングキーボードがおまけについてきた。ラッキー!」と思わせ、企業にファームウェアを改竄したキーボードを送りつけ、このような攻撃を実施することが今後推測されます。発注していないキーボードが企業に届いたら装着することなく処分しましょう。また安価なキーボードを購入しないことも今後は大切な発注ポイントになるかもしれません。
