Office 365 フィッシングで使用される Kaspersky から盗まれた Amazon SES トークン

Kaspersky’s stolen Amazon SES token used in Office 365 phishing

2021/11/01 BleepingComputer — Kaspersky は、第三者に発行された正規の Amazon Simple Email Service (SES)トークンが、Office 365 ユーザーを標的としたスピアフィッシング・キャンペーンを仕掛ける、脅威アクターにより悪用されたと発表した。Amazon SES は、任意のアプリからメールを送信できるように設計された、スケーラブルなメールサービスであり、マーケティングや大量のメール・コミュニケーションなど、さまざまなユースケースに対応している。

Kaspersky のセキュリティ専門家は、今回のフィッシング・キャンペーンについて、Iamtheboss と MIRCBOOT という2つのフィッシング・キットを使用した、複数のサイバー犯罪者と関連づけている。

漏洩したサーバーはない

今日の Kaspersky の説明によると、「このアクセス・トークンは、Kaspersky が主催する Web サイト 2050.earth のテスト中に、第三者の契約者に発行されたものだ。また、このサイトは、Amazon のインフラでホストされている。これらのフィッシング攻撃が発覚した時点で、SES トークンは直ちに無効化された。2050.earth および関連サービスにおいて、サーバーの侵害や、データベースへの不正アクセス、その他の悪意の行為は確認されなかった」としている。

この脅威アクターは、Kaspersky に成りすますことはせず、フィッシング・メッセージを FAX の不在通知にカモフラージュし、Microsoft の認証情報を採取するためのフィッシング・ランディング・ページに、ターゲットを誘導するものである。しかし、Kaspersky の公式メールを使用し、Amazon Web Services のインフラからメールを送信したことで、SEG (Secure Email Gateway0 の保護機能を容易に回避して、ターゲットのメールボックスに到達したと思われる。

Kaspersky は、「このフィッシングメールは、通常は FAX 通知の形で届き、Microsoft のオンラインサービスの認証情報を収集する、偽の Web サイトにユーザーを誘導する。これらの電子メールは、noreply@sm.kaspersky.com を含むが、それに限定されない様々な送信者アドレスを持っている」と述べている。

ユーザーへの注意喚起

Kaspersky は、このようなスピア・フィッシング攻撃の標的となっているユーザーや関係者に対して、認証情報などの機密情報の提供を求められた際に、そのような情報を求めるメッセージが見慣れたブランドやメールアドレスから送られたと思えても、注意して警戒するよう呼びかけている。

Kaspersky のブログでは、メール・ヘッダーを用いて、送信者の身元を確認する方法が詳しく紹介されている。関連するニュースとして、8月にも Microsoft は、Office 365 の顧客を対象とした回避能力の高いスピア・フィッシング・キャンペーンが、複数回にわたって行われていると警告していた。また、3月にも同社は、大規模なフィッシング操作の背後にいる攻撃者が、2020年12月以降で、約40万件の OWA および Office 365 の認証情報を盗んだと発表している。

また、Microsoft Defender ATP のサブスクライバーに対しては、リモートワーカーを対象としたコンセント・フィッシング (別名:OAuth フィッシング) 攻撃が増加していると、1月下旬に警告している。

10月20日にポストした、「クラウド環境におけるペンテストは従来からのパターンとは全く異なる」という記事には、「2016年に Uber で生じた情報漏洩インシデントでは、GitHub にある Uber のプライベートコードにアクセスする認証情報が盗まれ、そこでハードコードされた AWS S3 の認証情報を見つけ出された。この認証情報を利用して、Uber の AWS アカウントにログインし、ファイルをダウンロードすることができた」という内容が記されていました。そして、今回は、Kaspersky から盗まれた Amazon SES トークンが、Office 365 ユーザーを標的としたスピアフィッシングに利用されるというケースです。認証情報の窃取を要員とする、さまざまな環境をブリッジする攻撃が止まらない感じですね。

%d bloggers like this: