サイバーセキュリティ企業になりすまし、コールバック型フィッシングを行うアクター

クラウドストライクの最新レポートでは、脅威アクターがクラウドストライクのような有名なサイバーセキュリティ企業になりすまし、企業ネットワークへの初期アクセスを試みるコールバックフィッシングの存在が明らかにされています。同報告書によると、このキャンペーンは、過去のコールバックフィッシングのキャンペーンで見られたように、ランサムウェア攻撃につながる可能性が高いとのことです。   コールバックフィッシングキャンペーンは、有名な組織になりすまし、ターゲットに問題の解決、購読更新のキャンセル、あるいはその他の問題について話し合うために、指定の番号に電話するよう要求します。そして、ターゲットがその番号に電話をかけると、脅威アクターはソーシャルエンジニアリングを用いて、ターゲットのデバイスにリモートアクセスソフトウェアをインストールさせ、企業ネットワークへのアクセスを提供します。そして、このアクセスは、Windowsドメイン全体を危険にさらすために使用されます。   この新しいコールバックフィッシングキャンペーンでは、脅威アクターがクラウドストライクになりすまし、悪意のあるネットワーク侵入者がワークステーションを侵害し、詳細なセキュリティ監査が必要であることを標的の受信者に警告するふりをしていることが確認されています。   「これは、サイバーセキュリティ団体になりすましたコールバックのキャンペーンとして初めて確認されたもので、サイバー侵害の緊急性を考えると、より高い成功の可能性があります」 – クラウドストライク   クラウドストライクは、2022年3月に同社のアナリストが、脅威アクターがAteraRMMを使ってコバルトストライクをインストールし、被害者のネットワーク上で横移動してからマルウェアを展開するという同様のキャンペーンを確認したことを指摘しています。   以前のコールバックフィッシングは、コンティランサムウェアギャングが企業ネットワークへのアクセスを得るためにバザーコールフィッシングを用いていた際によく使われていました。あるソースによると、最近のコールバックキャンペーンはクウォンタムランサムウェアギャングによって行われた、と考えられているようです。