Microsoft の脅威インテリジェンス チームによる新たな調査により、中間者攻撃キャンペーンを展開するためのオープンソースのフィッシング キットの宣伝を開始した DEV-1101 という脅威アクターの活動が明らかになりました。
マイクロソフトによると、脅威アクターはこのキットを「リバースプロキシ機能、自動セットアップ、アンチボットデータベースによる検出回避、Telegramボットによるフィッシング活動の管理、Microsoft OfficeやOutlookなどのサービスを模倣したさまざまな既製のフィッシングページ」を備えたフィッシングアプリケーションだと説明している。
参照:フィッシング攻撃:ITプロフェッショナル向けガイド(無料PDF)(TechRepublic)
Microsoftは、未知、新興、または発展途上の脅威活動クラスターの仮称として、DEVに数字を付加したものを使用しています。脅威アクターの出所や身元に関する十分なデータと高い信頼性が得られた時点で、正式な脅威アクター名が付与されます。
ジャンプ先:
- 中間者フィッシング攻撃とは何ですか?
- これらのフィッシングキットがどのように使用されるか
- このフィッシングキットの潜在的な影響
- フィッシングキットの価格上昇
- AitMの脅威から身を守る方法
中間者フィッシング攻撃とは何ですか?
中間者フィッシング攻撃では、悪意のある人物が 2 者間 (通常はユーザーと Web サイトまたはサービス) の通信を傍受して変更し、ログイン認証情報やクレジットカード情報などの機密情報や財務情報を盗みます。
AitM キャンペーンは、偽装された電子メールや Web サイトに依存しないため、他の種類のフィッシング攻撃よりも検出が困難です。
これらのフィッシングキットがどのように使用されるか
フィッシング キットはさまざまなアプローチで使用されてきました。
研究者らが説明するアプローチの 1 つは、Microsoft が追跡している別の脅威アクターである DEV-0928 が使用した方法です。DEV-0928 は、標的に電子メールを送信することで攻撃を開始します (図 A )。
図A
ユーザーが「開く」ボタンをクリックすると、フィッシングキットのアンチボット機能が作動します。ボットが検出された場合、フィッシングキットは攻撃者が設定した安全なページ(デフォルトのページはexample.com)へのリダイレクトを提供する可能性があります。
もう 1 つの手法としては、検出を回避し、クリックの背後に実際のユーザーがいることを確認するために CAPTCHA リクエストを起動することが考えられます (図 B )。
図B
ユーザーには、攻撃者が管理するサーバーによってホストされているフィッシング ページが表示されます (図 C )。
図C
AiTMキャンペーンが多要素認証を回避する方法
ユーザーがフィッシングページに認証情報を提供し、多要素認証を有効にして正規のアカウントにログインした場合、フィッシングキットは機能を継続し、MFAバイパス機能を有効化します。フィッシングキットは、ユーザーと正規のサービスの間のプロキシとして機能します。
フィッシングキットは盗んだ認証情報を使って正規のサービスにログインし、MFAリクエストをユーザーに転送します。ユーザーはMFAリクエストを入力します。フィッシングキットはその情報を正規のウェブサイトにプロキシし、攻撃者がユーザーになりすまして正規のサービスにアクセスするために使用できるセッションCookieを返します。
このフィッシングキットの潜在的な影響
マイクロソフトは、このキットを使用した攻撃者が毎日数百万件ものフィッシングメールを送信しているのを確認していますが、その拡散範囲はさらに拡大している可能性があります。実際、攻撃者は誰でもフィッシングキットのライセンスを購入し、使用を開始する可能性があります。被害者に接触する方法としてはおそらくメールが最も一般的ですが、攻撃者はインスタントメッセージ、ソーシャルネットワーク、その他標的とするあらゆるチャネルを通じてメールを使用する可能性もあります。
フィッシングキットの価格上昇
脅威アクターは2022年6月頃、サイバー犯罪フォーラムとTelegramチャンネルでキットの販売を開始し、月額ライセンス料を100米ドルと発表しました。サービスに興味を持つ攻撃者の増加に伴い、2022年12月には価格は300米ドルに達し、VIPライセンスは1,000米ドルで提供されるようになりました。
AitMの脅威から身を守る方法
- 可能な場合は常に MFA を展開して維持します。中間者攻撃などの手法では依然として MFA を回避できますが、ユーザー アカウントやサービスへのアクセスを盗むことがより複雑になるため、有効な手段となります。
- 条件付きアクセスと Azure AD のセキュリティ デフォルトを有効にする: Microsoft では、Azure AD のセキュリティ デフォルトをポリシーのベースライン セットとして使用し、条件付きアクセス ポリシーを有効にして、IP の位置情報、デバイスの状態など、いくつかの要素に基づいてサインイン要求を評価できるようにすることをお勧めします。
- ネットワークにセキュリティ ソリューションを導入する:これにより、電子メール サーバー上のフィッシング メールだけでなく、ネットワークの他のすべての部分におけるマルウェアや詐欺行為も検出できるようになります。
- ソフトウェアとオペレーティングシステムを最新の状態に保つ:ソフトウェアを最新の状態に保ち、パッチを適用することで、一般的な脆弱性の被害を回避できます。この対策として、TechRepublic Premiumからパッチ管理ポリシーをダウンロードすることをご検討ください。
- コンピュータセキュリティとサイバー犯罪についてユーザーを教育する:マルウェアや詐欺でユーザーを狙う最も一般的な手段であるフィッシングに焦点を当てた従業員トレーニングを実施します。このステップを支援するために、TechRepublic Premiumからセキュリティ意識向上とトレーニングに関するポリシーをダウンロードすることを検討してください。
次に読む:認証情報に関するゼロトラストの新たな7つの戒律(TechRepublic)
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
