B
今週中
イランのAPTグループMuddyWaterが、Microsoft Teamsを利用したソーシャルエンジニアリングを通じて標的への侵入を試みています
📌 一言でいうと
イランのAPTグループMuddyWaterが、Microsoft Teamsを利用したソーシャルエンジニアリングを通じて標的への侵入を試みています。攻撃者はChaosランサムウェアをデコイ(偽装)として使用し、実際にはサイバー espionage(諜報活動)を行うことで、攻撃の目的を隠蔽し帰属特定を困難にさせています。この手法は、国家主導の攻撃者が犯罪者の手法を模倣して検知を回避しようとする傾向を示しています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- 社内でMicrosoft Teamsを利用しており、外部ユーザーからのチャットやファイル送信を許可している
- 不審なファイルを実行した後に、画面に「Chaos」という名前のランサムウェア(身代金要求)画面が表示された
- Microsoft Teams経由で、身に覚えのないファイルやリンクを社員がクリックした形跡がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Microsoft Teamsにおける外部ユーザーとの通信設定の見直し、不審なファイルやリンクのクリック禁止、および多要素認証(MFA)の徹底を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft Teamsを悪用した不審なメッセージへの注意について
お疲れさまです。情報システム担当です。
現在、Microsoft Teamsを利用して、信頼できる相手を装い、悪意のあるファイルやリンクを送りつける攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いであっても、不自然なファイル送信やURLのクリックを避けてください。
2. 不審なメッセージを受信した場合は、すぐに情報システム担当まで報告してください。
3. 会社で指定された多要素認証(MFA)を必ず有効にしてください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、Microsoft Teamsを利用して、信頼できる相手を装い、悪意のあるファイルやリンクを送りつける攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いであっても、不自然なファイル送信やURLのクリックを避けてください。
2. 不審なメッセージを受信した場合は、すぐに情報システム担当まで報告してください。
3. 会社で指定された多要素認証(MFA)を必ず有効にしてください。
対応期限: 本日中
Subject: [Security Alert] Beware of Suspicious Messages via Microsoft Teams
Hi everyone,
We have observed attacks where threat actors use Microsoft Teams to send malicious files or links by pretending to be trusted contacts.
What we need from you:
1. Avoid clicking on suspicious links or downloading unexpected files, even if they appear to come from a known contact.
2. Report any suspicious messages to the IT security team immediately.
3. Ensure that Multi-Factor Authentication (MFA) is enabled on your accounts.
Deadline: Immediate
Hi everyone,
We have observed attacks where threat actors use Microsoft Teams to send malicious files or links by pretending to be trusted contacts.
What we need from you:
1. Avoid clicking on suspicious links or downloading unexpected files, even if they appear to come from a known contact.
2. Report any suspicious messages to the IT security team immediately.
3. Ensure that Multi-Factor Authentication (MFA) is enabled on your accounts.
Deadline: Immediate
件名: 【共有】MuddyWaterによるランサムウェア偽装攻撃への対応について
お疲れさまです。MuddyWater(Static Kitten)による最新の攻撃手法に関する情報共有です。
■ 概要
イラン系APTグループMuddyWaterが、Microsoft Teamsを起点としたソーシャルエンジニアリングを行い、Chaosランサムウェアをデコイとして展開して諜報活動を隠蔽する手法が確認されました。ランサムウェアの挙動を見せつつ、実際にはデータの窃取や永続性の確立を目的としています。
■ 影響範囲
- Microsoft Teamsを利用している全組織
- 外部ユーザーとの連携を許可している環境
■ 対応手順
1. Teamsの外部アクセス設定およびゲストアクセス権限の再レビューを実施してください。
2. EDR/SIEMにおいて、Teamsプロセスからの不審な子プロセスの起動や、不自然な外部通信を監視してください。
3. 認証情報の窃取を防ぐため、特権アカウントへのMFA適用を再徹底してください。
■ 参考情報
- Rapid7 Threat Intelligence Report
対応優先度: 高
対応期限: 今週中
お疲れさまです。MuddyWater(Static Kitten)による最新の攻撃手法に関する情報共有です。
■ 概要
イラン系APTグループMuddyWaterが、Microsoft Teamsを起点としたソーシャルエンジニアリングを行い、Chaosランサムウェアをデコイとして展開して諜報活動を隠蔽する手法が確認されました。ランサムウェアの挙動を見せつつ、実際にはデータの窃取や永続性の確立を目的としています。
■ 影響範囲
- Microsoft Teamsを利用している全組織
- 外部ユーザーとの連携を許可している環境
■ 対応手順
1. Teamsの外部アクセス設定およびゲストアクセス権限の再レビューを実施してください。
2. EDR/SIEMにおいて、Teamsプロセスからの不審な子プロセスの起動や、不自然な外部通信を監視してください。
3. 認証情報の窃取を防ぐため、特権アカウントへのMFA適用を再徹底してください。
■ 参考情報
- Rapid7 Threat Intelligence Report
対応優先度: 高
対応期限: 今週中
Subject: [Intel] MuddyWater Campaign using Chaos Ransomware as Decoy
Hi team,
Sharing intelligence regarding a recent campaign by MuddyWater (Static Kitten).
■ Overview
MuddyWater is employing Microsoft Teams social engineering for initial access. They are deploying Chaos ransomware as a decoy to mask their true objective: cyber-espionage. This tactic is designed to complicate attribution and mislead incident responders into treating the event as a financial crime rather than a state-sponsored intrusion.
■ Scope
- Organizations utilizing Microsoft Teams
- Environments with permissive external communication settings
■ Mitigation Steps
1. Review and tighten Microsoft Teams external access and guest permissions.
2. Monitor EDR/SIEM for suspicious child processes spawned from Teams or unusual outbound network traffic.
3. Enforce strict MFA for all accounts, especially privileged ones, to prevent credential theft.
■ Reference
- Rapid7 Threat Intelligence Report
Priority: High
Deadline: End of week
Hi team,
Sharing intelligence regarding a recent campaign by MuddyWater (Static Kitten).
■ Overview
MuddyWater is employing Microsoft Teams social engineering for initial access. They are deploying Chaos ransomware as a decoy to mask their true objective: cyber-espionage. This tactic is designed to complicate attribution and mislead incident responders into treating the event as a financial crime rather than a state-sponsored intrusion.
■ Scope
- Organizations utilizing Microsoft Teams
- Environments with permissive external communication settings
■ Mitigation Steps
1. Review and tighten Microsoft Teams external access and guest permissions.
2. Monitor EDR/SIEM for suspicious child processes spawned from Teams or unusual outbound network traffic.
3. Enforce strict MFA for all accounts, especially privileged ones, to prevent credential theft.
■ Reference
- Rapid7 Threat Intelligence Report
Priority: High
Deadline: End of week