攻撃者はProofpointとIntermediaのリンクラッピングを利用して悪意のあるURLを隠蔽する

1 ManageEngine Log360

リンクラッピングは、Proofpointなどのベンダーが、ユーザーがクリックしたURLをスキャンして書き換え、安全性を確保するセキュリティ機能です。しかし、攻撃者はこの保護機能を悪用し、ユーザーを認証情報を盗むMicrosoft Office 365ページにリダイレクトしました。

リンクラッピング攻撃者は、正規のサービスを通じて悪意のあるURLを実行します。

攻撃を実行するには、脅威アクターは既にリンクラッピングを使用しているアカウント（今回の場合はProofpointのリンクラッピングサービス）の制御権を取得する必要があります。Cloudflareは、攻撃者がリンクラッピングが有効な侵害済みアカウントを利用してフィッシングURLを「ロンダリング」または偽装していることを観察しました。攻撃者はBitlyなどのURL短縮サービスをよく利用し、Cloudflareが「URL短縮サービス → Proofpointのリンクラッピング → フィッシングランディングページ」と表現する直接的なリンクチェーンを構築していました。

こうしたキャンペーンの一つでは、ボイスメールの通知を装ったリンクをメールに添付していました。「ボイスメールを聞く」リンクには、URLがラップされていました。ProofpointのURLラップされたリンクは最終的にMicrosoft Office 365のフィッシングページに誘導し、偽のサービスヘルスアラートを表示してユーザーに認証情報を入力させようとしました。

別のフィッシング攻撃では、侵害されたIntermedia保護アカウントが利用され、同様に偽装されたリンクを含むメールが配信されました。Intermedia保護で保護されたこれらの悪意のあるリンクも同様の方法で機能しました。このケースでは、脅威アクターはIntermedia保護対象の組織内のアカウントを侵害し、そこからリンクを送信しました。これらのメールの一部は、Zixというサービスからのセキュアメッセージ通知、共有Word文書、またはMicrosoft Teamsのメッセージ通知を偽装していました。

Proofpoint はリンク リダイレクトの悪用を認識していると、TechRepublic への電子メールで述べています。

「プルーフポイントは、脅威アクターがこの手法を使用し、ソフォスやシスコを含む複数のセキュリティベンダーのURLを悪用していることを確認しました」とプルーフポイントの脅威研究者は用意した声明で述べています。

さらに、Proofpoint は、自社の行動 AI 検出エンジンがフィッシング キャンペーンで使用されるメッセージを検出して破棄できることを明らかにしました。

「脅威の攻撃者が、Proofpoint を含むあらゆるセキュリティ サービスから書き換えられた URL を使用することを選択した場合、セキュリティ サービスが最終的な URL をブロックすると、受信者がセキュリティ サービスの顧客であるかどうかに関係なく、キャンペーンの受信者全員に対する攻撃チェーン全体がブロックされることになります」と研究者らは述べています。

リンクラッピング攻撃から身を守る方法

セキュリティ担当者向けに、Cloudflare Email Security ではこの手法に対する 2 つの検出機能を作成しました。

• SentimentCM.HR.Self_Send.Link_Wrapper.URL。
• SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment。

また、セキュリティチームがこの手法を積極的に特定できるように、侵害の兆候 (IOC) と電子メール検出のフィンガープリントも公開しました。

組織と従業員にとって、レポートは警戒を強めています。身元不明の送信者から受信したリンクはクリックせず、同僚からのTeamsメッセージなど、コミュニケーションの通常のペースとパターンに注意を払ってください。これらのパターンや情報源から逸脱するリンクや、認証情報の窃取、システムへの侵入、銀行口座や仮想通貨口座からの資金流出を目的としたサイトが含まれている可能性があります。

2024 年に米国連邦取引委員会に提出された詐欺報告の 11% は、金銭的損失をもたらす電子メール詐欺でした。

この記事は Proofpoint からの声明を受けて更新されました。 

AIスタートアップ企業Perplexityは、AIトロールから除外されたウェブサイトをスクレイピングするためにステルスクローラーを使用したという疑惑を否定している。