マイクロソフトは最近、数ヶ月にわたって追跡してきた大規模なスパムキャンペーンについて詳述しています。このスパムネットワークは、ピーク時には毎月100万通以上のメールを送信し、7種類のマルウェアを拡散させ、世界規模で被害者を狙っていました。

マイクロソフト、大量のスパムメールキャンペーンを詳述

マイクロソフトは2020年3月から12月までスパムの活動を追跡し、その規模からメールプロバイダーが合法的に見えるほど強力な「広大なアーキテクチャ」を徐々に明らかにし、その詳細を明らかにしました。

マイクロソフトのセキュリティブログによると、スパムキャンペーンは世界各国をターゲットにしており、米国、英国、オーストラリアで大量のスパムが発見されたとのことです。これらのスパムメールは、主に卸売流通、金融サービス、ヘルスケア業界を対象に、さまざまなフィッシングのおとりやスパムの手口を用いて送信されています。

関連：モジュール型マルウェア：データを盗むための秘密攻撃

スパムキャンペーンの最初の指標は、2020年3月に現れました。多くのスパムドメインのパターンが「weird」という単語をよく使うことから、マイクロソフトは「weird」と命名した。RandomU」と名付けられた2つ目のドメイン名生成アルゴリズムは、後ほど発見される予定です。

また、マイクロソフトは、スパムキャンペーンの増加が、マイクロソフトが関与していたボットネット「Necurs」の世界的な解体と重なると指摘しています。Necursは、破壊される前は最も多くのスパムボットネットの1つで、他の犯罪者が自由にネットワークにアクセスできるようになっていました。

StrangeUとRandomUのインフラは、Necursの混乱で生じたサービスのギャップを埋めているように見え、攻撃者は一時的なオペレーションの中断に素早く適応する高いモチベーションを持っていることが証明されました。

マイクロソフトのレポートから得られる最大の収穫は、スパムの世界が緊密に結びついていることです。スパムネットワークやキャンペーンは、既存のボットネットが稼動しているときでも、その目標を達成するためにインフラへのアクセスを有料で利用することがあります。

スパムの出力を多様化することは、スパムネットワークを破壊するためによく使われる自動解析技術からオペレーション全体を守るための一歩となります。

関連：ボットネットとは何ですか？あなたのコンピューターはボットネットに属していますか？

strangeuとrandomuは、幅広いターゲットにヒットします。

このスパムネットワークのインフラを利用して、9ヶ月間にわたって複数のマルウェアキャンペーンが配信されました。

• 4月と6月：Makopランサムウェアを提供する韓国のスピアフィッシングキャンペーン
• 4月：マルウェア「Mondfoxia」に関する緊急注意喚起のお知らせを配信
• 6月：ブラック・ライブズ・マターが餌となり、マルウェア「Trickbot」を配信
• 6月、7月：StrangeUでDridexキャンペーンを実施。
• 8月：Dofoil(SmokeLoader)イベント
• 9月～11月：エモテとドリデックスのイベント

マイクロソフトの調査では、攻撃者がマルウェア、ボットネット、スパムの配布に取り続けるモジュラーアプローチについて詳しく説明しています。マルウェアをモジュール化することで、攻撃者は配布方法に多様性を持たせることができ、解体や破壊のオペレーションは、物理的な凹凸が生じる前に大量のインフラをカバーしなければならないことを保証しています。