イランのハッカー集団APT35が、デジタルルアーが攻撃に成功したかどうかを知りたい時は、Telegramをチェックするだけでいい。彼らが設置した模倣サイトに誰かがアクセスすると、メッセージングサービスのパブリックチャンネルに通知が表示され、潜在的な被害者のIPアドレス、位置情報、デバイス、ブラウザなどの詳細情報が表示される。これはプッシュ通知ではなく、フィッシング通知だ。
Googleの脅威分析グループは、APT35(別名Charming Kitten)に関する広範な調査の一環として、この斬新な手法を概説しました。APT35は国家支援を受けたグループで、ここ数年、高価値な標的に誤ったリンクをクリックさせ、認証情報を提供させようとしてきました。APT35は国際的な舞台で最も成功した、あるいは洗練された脅威というわけではありませんが(何時間にも及ぶハッキング動画を誤って流出させたのもAPT35です)、Telegramの利用は、将来的に大きな利益をもたらす可能性のある革新的な手法として際立っています。
このグループは、人々をフィッシングページに誘導するために様々なアプローチを駆使しています。Googleは最近確認された事例をいくつか紹介しました。英国の大学のウェブサイトへの侵入、Google Playストアに一時的に紛れ込んだ偽のVPNアプリ、そしてハッカーが実際の会議の主催者を装い、悪意のあるPDF、Dropboxのリンク、ウェブサイトなどを使って標的を罠にかけようとするフィッシングメールなどです。
大学のウェブサイトの場合、ハッカーは潜在的な被害者を侵害されたページに誘導し、ウェビナーを視聴するために、Gmail、Facebook、AOLなどあらゆるサービスプロバイダーからログインするよう促します。認証情報を入力すると、APT35に直接接続され、二要素認証コードの入力を求められます。これは非常に古くからある手口で、APT35は2017年から政府、学術機関、国家安全保障機関などの関係者を標的にこの手口を使用しています。
侵害された Web サイトでホストされているフィッシング ページ。
Google TAG提供この偽VPNも特に革新的なものではなく、Googleは誰かがダウンロードする前にアプリをストアから削除したと発表しています。しかし、もし誰かがこの策略に騙されたり、まだ利用可能な別のプラットフォームにインストールしたりした場合、このスパイウェアは通話記録、テキストメッセージ、位置情報、連絡先などを盗む可能性があります。
率直に言って、APT35はそれほど優秀な集団ではありません。近年、ミュンヘン安全保障会議やThink-20 Italyの関係者を巧妙に装ったことはありますが、それもフィッシングの基本中の基本です。「このグループは非常に活発に活動しており、幅広い標的を狙っていますが、その幅広い標的設定は、彼らの成功率を必ずしも反映しているわけではありません」と、Google TAGのセキュリティエンジニアであるAjax Bash氏は述べています。「彼らの成功率は実際には非常に低いのです。」
しかし、Telegramのこの新たな利用法には注目すべき点がある。APT35はフィッシングページにJavaScriptを埋め込み、ページが読み込まれるたびに通知を送信するように設計している。そして、Telegram APIのsendMessage関数を使って作成したボットを通じて、これらの通知を管理する。この仕組みにより、攻撃者は、誰かに誤ったリンクをクリックさせることに成功したかどうかだけでなく、その人物の所在地や使用デバイスなど、その他多くの有用な情報を即座に入手できる。「フィッシング攻撃の文脈において、攻撃者は標的のユーザーがリンクをクリックしたかどうか、あるいはそのページがGoogleセーフブラウジングによって分析されているかどうかを確認できる」とバッシュ氏は語る。「これにより、攻撃者はメールが標的に届き、開封され、読まれ、リンクがクリックされたことを把握できるため、フォローアップメールを通じて標的とのエンゲージメントを強化できるのだ。」
攻撃者への通知に使用されるパブリック Telegram チャネル。
Google TAG提供セキュリティ企業Mandiantによると、Charming Kittenは高級なカンファレンスページだけにとどまらず、7月にはTelegramでも利用されていることを確認している。「攻撃者は、アダルトコンテンツサイトや無料の音声・ビデオ通話・インスタントメッセンジャーソフトウェアを装った悪意のあるウェブページを作成していました」と、Mandiantのアソシエイトアナリスト、エミエル・ヘーゲバート氏とシニアプリンシパルアナリスト、サラ・ジョーンズ氏はメールでコメントを寄せた。「ランディングページは、ページ訪問者のプロファイルを作成し、その情報を攻撃者が監視していたと疑われるTelegramチャンネルに送信していました。」
ハッカーは以前にもTelegramを悪用したことがある。4月、セキュリティ企業Check Pointは、Telegramが「ToxicEye」と呼ばれるマルウェアのコマンド&コントロール(C&C)インフラの一部として利用されていることを発見した。同社は過激派や詐欺師を自社のチャンネルから排除できなかったことで、多くの批判を浴びている。APT35によるTelegramボットの通知サービスとしての利用は、これらの悪用ほど極端ではないものの、事前検知がはるかに困難だ。
「問題となっているコンテンツは、一見ランダムなメッセージで、悪意のある兆候は見られません」と、Telegramの広報担当者マイク・ラヴドニカス氏は述べています。「例えば、プログラマーがコードをデバッグしているなど、何かしらの可能性があります。」Telegramは、Googleからの報告を受け次第、すべてのボットとチャンネルを削除したと述べており、「報告のおかげで特定できた類似の公開チャンネルとボット」も削除しました。しかし、IPアドレスなどのリストをアクティブなフィッシングキャンペーンに結び付けることができない限り、それらを配信しているボットが悪意を持っていると断言することはできないと、ラヴドニカス氏は付け加えています。
幸いなことに、機密情報を扱う業界で働いているのでなければ、APT35があなたを狙う可能性は低いでしょう。しかし、フィッシングアラートの新たな工夫は、既に不公平な戦いにおいて、APT35と模倣犯ハッカーにさらなる優位性を与える可能性があります。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- レインブーツ、潮の流れ、そして行方不明の少年の捜索
- 天文学者、エウロパの海に生命が存在するか調査する準備
- Clearview AIは写真からユーザーを識別する新しいツールを導入しました
- ドラゴンエイジと、カルト的な人気を誇るゲームをプレイするのがなぜつまらないのか
- Googleジオフェンス令状がDC暴徒逮捕にどのように役立ったか
- 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- 📱 最新のスマートフォンで迷っていますか?ご心配なく。iPhone購入ガイドとおすすめのAndroidスマートフォンをご覧ください。
