攻撃者はSlackやDiscordを利用してマルウェアを配信・制御している

新たな調査によると、サイバー犯罪者はリモートワーク時代にマルウェアを配布・制御するために、DiscordやSlackなどのコラボレーションアプリのツールをますます活用している。

新型コロナウイルス感染症のパンデミックの間、シスコのTalos Intelligenceの研究者は、リモートコラボレーションプラットフォームを悪用した攻撃の大幅な増加を追跡してきました。これには、リモートアクセス型トロイの木馬（RAT）、情報窃取型マルウェア、IoTマルウェア、その他の脅威が含まれます。

研究者たちは、リモートワークへの移行とコラボレーションツールへの依存度の高まりが攻撃増加の理由であると指摘しています。サイバー犯罪者がコラボレーションツールを悪用することは目新しいことではありません。しかし、業務アプリへの依存度の高まりにより、より多くの攻撃者が戦術を変化させています。

これらの攻撃は、SlackやDiscordに存在する悪用可能なコードの脆弱性を直接利用しているわけではありません。サイバー犯罪者は、SlackやDiscord内の一見信頼できるリンクを利用して、被害者にマルウェアを配信しています。また、感染したマシンで実行されているコードをDiscord経由で遠隔操作し、デバイスからデータを窃取する攻撃者もいます。

「コラボレーションプラットフォームにより、多くのネットワーク環境ではブロックされない可能性のある正当なインフラストラクチャを使用して、攻撃者がキャンペーンを実行できるようになります」とTalosはブログ投稿に書いています。

さらに、一部のマルウェア攻撃では、被害者のマシンにSlack、Discord、その他のコラボレーションアプリがインストールされている必要すらありません。攻撃者は、これらのプラットフォームにホストされている悪意のあるファイルへのリンクをメールで送信するだけです。

Ciscoの研究者によると、DiscordやSlackといったプラットフォームのファイルホスティング機能を悪用した攻撃が、最も一般的な攻撃の一つとなっているという。SlackやDiscordのサーバーにアップロードされる悪意のあるプログラムには、Phoenix KeyloggerやLimeRATなどが含まれる。

世界的な健康危機のさなか、ユーザーはDiscordやSlackのリンクをより信頼している可能性が高いですが、攻撃者は他の機能も悪用しています。例えば、ファイルの圧縮やHTTPS暗号化はマルウェアを難読化するのに役立ちます。また、一般的に使用されているアプリでホストされているファイルは、ブロックや削除が困難です。

「悪意のある脅威アクターは常に、システム上でマルウェアを実行するための新しく効果的な方法を模索しており、最大の課題の一つは配布だ」と研究者らは述べている。「Discord、Slackといったチャットアプリの人気が高まるにつれ、組織はこれらのアプリが敵対者によってどのように悪用される可能性があるか、そして組織内でどれだけのアプリの運用を許可すべきかを評価する必要がある。」

他のサイバーセキュリティ企業もTalosの調査結果を裏付けています。2月には、Zscalerが不正なDiscordリンク経由で配信されるマルウェアの亜種を1日あたり最大24種類追跡していると発表しました。

シスコは、コラボレーションツール経由でホストまたは送信されたリンクをクリックする際には注意するよう推奨しています。経験則として、知らない人や信頼できない人からのリンクは絶対にクリックしないことが推奨されます。