クラウドベースのセキュリティ企業Menlo Securityのレポートによると、EvilProxyによる新たなフィッシング攻撃は、正規の求人検索サイトIndeed.comのオープンリダイレクトの脆弱性を悪用しているという。Menlo Securityによると、このフィッシング攻撃キャンペーンは、主に製造業、保険業、銀行・金融サービス業、不動産管理業、不動産業といった米国企業の経営幹部やその他の主要幹部を標的としている。
ジャンプ先:
- EvilProxy とは何ですか?
- この新しいフィッシングキャンペーンはIndeed.comのリダイレクタをどのように悪用するのか
- このフィッシング キャンペーンのターゲットとなっている業界はどれですか?
- EvilProxyフィッシングの脅威を軽減する方法
EvilProxy とは何ですか?
EvilProxyは、少なくとも2022年9月から存在しているフィッシング・アズ・ア・サービス(Fishing-as-a-Service)キットです。このキットは、リバースプロキシ機能を利用して攻撃者が二要素認証を回避できるようにします。この操作を実現するために、EvilProxyサービスは、キットがインターネット上に展開される前に、選択されたオプションに従ってフィッシングサイトを設定します。ユーザーがフィッシングページにアクセスすると、認証情報と二要素認証コードの入力を求められます。この情報はキットによってリアルタイムで使用され、攻撃者が標的とする正規のサービス上でハイジャックされたセッションが開始されます。
EvilProxyはダークウェブ上で、10日から31日までのプランが用意されたサブスクリプション型サービスとして販売されています。Menlo Securityによると、John_Malkovichというニックネームを持つ人物が、このサービスを購入した顧客を支援する管理者兼仲介役を務めているとのこと。
この新しいフィッシングキャンペーンはIndeed.comのリダイレクタをどのように悪用するのか
この新たなEvilProxy攻撃は、標的に送信されるフィッシングメールから始まります。このメールには、Indeedのオープンリダイレクタを悪用するリンクが含まれています(図A)。
図A
リダイレクタとは、正当なウェブサイトで様々な目的で使用される可能性のあるウェブリンクです。しかし、悪用されないように適切に実装する必要があります。オープンリダイレクトとは、ブラウザを任意の外部ドメインにリダイレクトできるリダイレクトです。
この攻撃では、脅威の攻撃者は、正しいパラメータが指定されるとオープン リダイレクタになる t.indeed.com サブドメインを悪用します。
https://t.indeed.com/r?parenttk=1ddp6896a2tsm800&target=https://youtube.com
標的がリンクをクリックすると、EvilProxyキットによって提供される偽のMicrosoftログインページにリダイレクトされます。何も知らない標的は、フィッシングページに認証情報と2FAコードを入力します。サーバー側では、キットはこれらの認証情報と2FAコードをリアルタイムで使用し、攻撃者に有効なセッションCookieを提供します。このCookieは、Microsoftウェブサイト上の被害者のリソースにアクセスするために使用できます(図B)。
図B
Indeed.com からのリダイレクトに加えて、攻撃者によって制御される他の 2 つのリダイレクトが続きます (図 C )。
図C
EvilProxyの使用に関する技術的証拠
研究者によると、フィッシング ページは、EvilProxy でよく使用される一般的な URI パスでホストされています。
- /ests/2.1/コンテンツ/
- /共有/1.0/コンテンツ/
- /オフィスハブ/バンドル/
フィッシング キットは、JavaScript コンテンツの動的な取得とレンダリングを支援するために、Microsoft の Ajax コンテンツ配信ネットワークも使用します。
HTTP POSTリクエストには、被害者のBase64エンコードされたメールアドレスとセッション識別子が含まれます。これはEvilProxyフィッシングキットの特徴的な情報です。また、ブラウザフィンガープリンティングにはFingerprintJSライブラリも使用されます。
研究者の Ravisankar Ramprasad 氏は、NGINX サーバー上で実行され、「407 プロキシ認証が必要です」と応答する IP アドレスも EvilProxy の兆候であると説明しています。また、lmo.、auth.、live.、login-live.、mso などのサブドメインを持つ 444 ステータス コードを持つサイトも EvilProxy の兆候です。
このフィッシング キャンペーンのターゲットとなっている業界はどれですか?
製造業、保険業、銀行・金融サービス業、不動産管理業、不動産業に加え、影響を受ける業種としては、電子部品製造業、製薬業、ヘルスケア業、建設業の順となっています。標的の約3%は、ソフトウェア、ビジネスコンサルティング、会計、サプライチェーン管理、物流業などの他の業種です(図D)。
図D
EvilProxyフィッシングの脅威を軽減する方法
サービスプロバイダやウェブサイトは、リダイレクタに提供されるパラメータを適切に管理し、サニタイズすることなく、リダイレクトを許可すべきではありません。ほとんどのリダイレクタは、内部リンクのみを許可するように設定する必要があります。ウェブサイトが外部リンクへのリダイレクトを必要とする場合は、外部ドメインのホワイトリストを使用するなど、追加のセキュリティ対策を導入する必要があります。
従業員は、フィッシングメールやそこに含まれる可能性のある悪意のあるリンクを見抜くためのトレーニングを受ける必要があります。疑わしい場合は、従業員がメールクライアントのクリックボタンなどを利用して、ITセキュリティ担当者に不審なメールを報告し、詳細な分析を依頼できるような仕組みを用意しておく必要があります。さらに、フィッシングやマルウェア感染の試みを検知するためのメールセキュリティソリューションを導入する必要があります。
一般的な脆弱性による侵害を回避するために、すべてのオペレーティング システムとソフトウェアは常に最新の状態に保ち、パッチを適用する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
