Microsoft: Evasive Office 365 phishing campaign active since July 2020
2021/08/12 BleepingComputer — Microsoft によると、2020年7月から1年間にわたり、高度な回避策を持つスピアフィッシング・キャンペーンが、Office 365 の顧客を対象として波状攻撃を仕掛けているようだ。この継続的なフィッシング・キャンペーンは、請求書をテーマにした XLS.HTML の添付ファイルおよび、電子メールアドレス、企業ロゴなどの、被害者に関する各種の情報を用いてターゲットを誘い出し、Office 365 の認証情報を騙し取るものだ。
この一連の流れから、脅威アクターは、攻撃の偵察段階でターゲットのデータを収集した後に、ソーシャル・エンジニアリングを用いてキャンペーンの効果を高めていると考えられる。Microsoft 365 Defender Threat Intelligence Team は、「このキャンペーンの主な目的は、ユーザー名、パスワード、IPアドレス、位置情報などの情報を収集することであり、攻撃者は、これらの情報を最初の侵入口として利用し、その後の侵入を試みる」と説明している。
継続的に進化する回避戦術
今回の一連の攻撃では、攻撃者はフィッシング・メールを難読化する努力を続け、メールに関するセキュリティ・ソリューションを回避している点で、他の攻撃とは一線を画している。Microsoft は「今回のフィッシング・キャンペーンでは、多層化されたメールの難読化や、JavaScript などの既知のファイル・タイプに対する、暗号化メカニズムの使用が試みられている。同様に HTML の多層難読化も行われており、ブラウザのセキュリティ・ソリューションを回避できる」と付け加えている。
これらのフィッシング・メールにバンドルされる xls.HTML や xslx.HTML などの添付ファイルは、さまざまな方式でエンコードされた複数のセグメントに分割され、無害に見えるようにすることで、メールのセキュリティ制御を回避している。このスピアフィッシング・メールでターゲットの受信箱に配信されるセグメントは以下の通りだと、Microsoft は明らかにしている。
・ Segment 1 – 対象者の電子メールアドレス
・ Segment 2 – 標的となるユーザーの組織のロゴ : logo[.]clearbit[.]com、i[.]gyazo[.]com、api[.]statvoo[.]com に目的のロゴがない場合は、Microsoft Office 365 のロゴを読み込む。
・Segment 3 – サインインがタイム・アウトしたことを示す、ぼやけたドキュメントのイメージを読み込むスクリプト。
・ Segment 4 – ユーザーにパスワードの入力を促し、入力されたパスワードをリモートのフィッシング・キットに送信し、エラーメッセージを含む偽ページをユーザーに表示するスクリプト。
このキャンペーンでは、検知を逃れるために、エンコードの仕組みが変更されている。セグメントごとに異なる方法を使い、平文のHTMLコード、エスケープ、Base64、ASCII文字、さらには Morse コードなどを切り替えている。騙されたターゲットが悪意の添付ファイルを起動してしまうと、被害者のデフォルト Web ブラウザに、ぼかした Excel ドキュメントが表示され、その上に Office 365 の偽ログイン・ダイアログが表示される。
このログイン・ボックスには、ターゲットの電子メールアドレスと、企業のロゴも表示されるが、ログイン・セッションがタイム・アウトしたと思わせるようにしている。具体的には、ぼかしたドキュメントのイメージが表示され、その上に、パスワードを再入力するように求めるダイアログが表示される。ターゲットがパスワードを入力すると、不正確なパスワードだというアラートがスクリプトにより表示され、パスワードを含むユーザー・データが、攻撃者のフィッシング・キットに送信される。
Microsoft は、「この、請求書をテーマにした XLS.HTML フィッシング・キャンペーンを1年にわたり調査した結果、攻撃者は平均して37日ごとに難読化や暗号化の仕組みを変更することで、常に検知を逃れている。つまり、認証情報の窃取を続けるための、高いモチベーションとスキルが示されている。このフィッシング・キャンペーンは、巧妙な回避策を持ち、絶え間なく進化する、現代の電子メールの脅威を例示している」と述べている。
2021年3月の Microsoft 警告によると、2020年12月以降に OWA と Office 365 の認証情報を、推定で 40万件ほど盗み出し、正規サービスを悪用して SEGs (Secure Email Gateways) を迂回するという、フィッシング操作もあったという。また、2021年1月下旬には、リモートワーカーを狙った同意書フィッシング (別名:OAuth フィッシング) 攻撃が増加しているとして、Microsoft Defender ATP のサブスクライバーに注意が促された。
一点突破を目標にして、高いスキルとモチベーションを持ち、お金のある企業をターゲットにするという、褒めてはいけませんが、敵ながらアッパレという感じの脅威アクターですね。ユーザーのセキュリティ・リテラシーは様々ですから、ここまで用意周到に準備されると、どこかを破られる可能性は大です。フィッシングという入り口を締めるのはもちろんですが、ペイロードを落とされた後の対処も大切です。昨日の「Microsoft Azure Sentinel の Fusion 機械学習モデルでランサムウェアを検出」は、Microsoft の、そんなスタンスの現れなんでしょうね。
IoT OT Security News 