セキュリティー企業の米プルーフポイントは2023年2月初旬、新たな攻撃キャンペーン▼を確認したとして注意を呼びかけた▼。
同社が「Screentime(スクリーンタイム)」と名付けた攻撃キャンペーンの特徴は、被害者(攻撃対象)のパソコンの画面データ(スクリーンショット)を取得すること。人によってはパソコンのデータを暗号化されるよりも恐ろしいだろう。一体、攻撃者の目的は何なのだろうか。
怪しいメールが攻撃のトリガー
まずはスクリーンタイムの概要を紹介しよう。スクリーンタイムが確認されたのは2022年10月から2023年1月まで。攻撃対象は主に米国およびドイツの企業。あらゆる業種が対象になったという。
一般的な攻撃キャンペーンと同様に、スクリーンタイムも多段階の手順を踏む。攻撃のトリガーとなるのはメールだ。
2022年10月から11月の攻撃では、Publisher▼ファイル(拡張子は.pub)を添付したメールが使われた。添付されたPublisherファイルには悪質なマクロが仕込まれている。ファイルを開いてマクロを有効にすると、攻撃者が用意したJavaScriptファイルがダウンロードおよび実行される。悪質なマクロはExcelファイルやWordファイルに仕込むのが一般的だ。なぜPublisherファイルを使ったのかは謎である。
Publisherファイルではうまくいかなかったのか、その後攻撃者は方針を変更。メールの本文中に、JavaScriptファイルのURL(リンク)を記載するようにした(図1)。
そして活動の規模を拡大。週に2回から4回、1回当たり数千から数万のメールを送信し始めた(図2)。当初は英語のメールだけだったが、2022年12月以降はドイツ語などのメールも確認されるようになった。
ダウンロードしたJavaScriptファイルを実行すると、「WasabiSeed」と名付けられたマルウエアがダウンロードされて実行される。実行されたWasabiSeedは、「Screenshotter」と呼ばれるマルウエアをダウンロードおよび実行する。このScreenshotterがスクリーンショットを撮影し、攻撃者のサーバー(C&Cサーバー▼)へ送信する。Screenshotterの役目はこれだけだ。
有用そうなパソコンから情報窃取
攻撃者は何のためにスクリーンショットを収集するのか。すぐに考えつくのが愉快犯や脅迫だ。
前者の例としては、2003年ごろから2007年ごろに流行した暴露ウイルスが挙げられる。感染したパソコンに保存されているファイルやスクリーンショットを、Winnyなどのファイル共有ソフトやWebを介して勝手に公開する。
後者の例としては2020年ごろに出回った脅迫メールが挙げられる。パソコンのWebカメラで撮影したユーザーの姿やパソコンのスクリーンショットなどを知人に送られたくなければ指定の金額を支払えと脅迫する。この場合は、実際にスクリーンショットなどを攻撃者が取得しているわけではない。
だがスクリーンタイムの目的はいずれでもない。攻撃を続けるかどうかを判断するためにスクリーンショットを取得しているというのだ。スクリーンショットから、攻撃対象パソコンの有用性を判断する。つまり、盗むに値する情報を扱っているかどうかを判断するのだ。
有用そうな場合にはWasabiSeedを使って、パソコンから情報を盗む追加のマルウエアを送り込む。判断に迷う場合には、再度Screenshotterを送り込んで新しいスクリーンショットを取得する。
攻撃対象を絞ることで攻撃のリソースを有効活用するとともに、攻撃キャンペーンに気づかれないようにしていると考えられる。
では、スクリーンショットからどのようにして有用性を判断しているのか。人手で判断しているとプルーフポイントはみている。確かに自動化は難しそうだ。追加のマルウエアやScreenshotterを送り込むのも人手だという。
