Microsoft のメール認証情報を狙うフィッシング・キット:MFA 回避機能を持つ?

Microsoft accounts targeted with new MFA-bypassing phishing kit

2022/08/03 BleepingComputer — Microsoft の電子メールサービスの認証情報を狙う、新たな大規模フィッシング・キャンペーンにおいて、カスタム・プロキシ・ベースのフィッシング・キットを用いられ、多要素認証 (MFA) を回避していることが判明した。このキャンペーンの目的は、エンタープライズ・アカウントに侵入して BEC (Business Email Compromise) 攻撃を行い、偽造書類を用いて支配下の銀行口座へと支払いを実行させることだと研究者たちは捉えている。

このフィッシング・キャンペーンの標的は、米国/英国/ニュージーランド/オーストラリアにおける、フィンテック/融資/会計/保険/連邦信用組合などの組織である。

このキャンペーンは、Zscaler ThreatLabz の研究者たちにより発見された。彼らによると、このアクティビティは現在も続いており、フィッシング詐欺師は毎日のように新しいフィッシング・ドメインを登録しているとのことだ。

キャンペーンの詳細

2022年6月から、Zscaler のアナリストたちは、特定の分野や Microsoft のメールサービスのユーザーを狙った、巧妙なフィッシングの試行が急増していることに気づいた。このキャンペーンで使用された新規登録ドメインの中には、下表に示すように、米国内の正規の連邦信用組合のタイポスクワット・バージョンが含まれていまるす。

Typos-quatted domains used in the campaign
Typo-squatted domains used in the campaign (Zscaler)

注目すべきは、数多くのフィッシング・メールが、これらの組織で働くエグゼクティブのアカウントから発信されていることだ。つまり、脅威アクターたちは、これらのエグゼクティブのアカウントを、先行して侵害している可能性が高いことになる。

また、別のフィッシング・サイトでは、メールキャン・ペーンの一環として、パスワード・リセットを目的としたドメインが使用されている。

  • expiryrequest-mailaccess[.]com
  • expirationrequest-passwordreminder[.]com
  • emailaccess-passwordnotice[.]com
  • emailaccess-expirynotification[.]com

脅威アクターたちは、メール本文に埋め込まれたボタンや、添付された HTML ファイル内にリンクを追加し、フィッシング・ページへのリダイレクトを引き起こしている。

HTML attachment containing the phishing URL
HTML attachment containing the phishing URL (Zscaler)

これらのリダイレクトは、正規の Web リソースを介して行われ、セキュリティ・ツールを回避することになる。さらに、脅威アクターたちは、Google Ads/Snapchat/DoubleClick のオープン・リダイレクトを好んでいることも分かっている。残念なことに、一部のプラットフォームでは、オープン・リダイレクトを脆弱性とみなさないため、脅威アクターたちに悪用を許す状態になっている。

Redirection examples from the campaign
Redirection examples from the campaign (Zscaler)

このキャンペーンでは、CodeSandbox と Glitch も広範囲に悪用され、ハッカーたちが労力をかけずに、新しいリダイレクト経路を作成するのを支援してしまっている。

Zscaler は、「リダイレクト・コードをホストする一般的な方法は、Web コードの editing/hosting サービスを利用することだ。攻撃者たちは、正規の Web 開発者のためのサイトを悪用し、最新フィッシング・サイトの URL を含む、新しいコード・ページを素早く作成していく。そして、ホストされたリダイレクト。コードへのリンクを、被害者へ向けて一斉にメールすることが可能になる」と述べている。

被害者がフィッシング・ページに誘導されると、JavaScript によりフィンガー・プリントが行われ、ターゲットが仮想マシン上にいるのか、それとも、通常のデバイスにいるのかが判別される。それにより、仮想マシンを解析に使用している可能性のある、セキュリティ・ソフトウェアや研究者を排除しながら、有効なターゲットだけにフィッシング・ページを公開していく。

Fingerprinting the site visitor
Fingerprinting the phishing site visitor (Zscaler)

カスタム・フィッシング・キットで MFA を回避

エンタープライズでは多要素認証 (MFA) の導入が急速に進んでおり、ユーザーの認証情報を盗むだけでは、アカウントにアクセスできないケースが増えている。したがって、MFA を回避する脅威アクターたちは、Evilginx2/Muraena/Modilshka のようなツールを利用している。

これらのリバース・プロキシを使って、被害者と電子メール・プロバイダのサーバの間に入り込む敵対者を、AiTM (adversary in the middle) と呼ぶようになった。

メールサーバーはログイン時に MFA コードを要求し、フィッシングキットはその要求を被害者に中継し、被害者はフィッシング・ボックスに OTP を入力する。このデータはメールサービスに転送され、脅威アクターたちは盗んだアカウントにログインできるようになる。

しかし、このやりとりの途中に位置するフィッシング・プロキシは、結果として得られる認証クッキーを盗むことができるため、脅威アクターたち盗んだクッキーを使ってログインし、特定のアカウントの MFA を回避きるようになる。

このキャンペーンを際立たせているのは、”Beautiful Soup” HTML および、XML パージング・ツールを使用するという特殊性を持つ、カスタム・プロキシ・ベースのフィッシング・キットが使用されている点だ。

このツールにより、エンタープライズのログイン・ページから取得した、正規のログインページを簡単に変更し、独自のフィッシング要素を追加することが可能となる。また、このツールには、その過程で HTML を美しくするという利点も持つ。

しかし、このキットは完璧ではない。Zscaler は、Microsoft サーバーに送信されるリクエストに、いくつかの URL リークを発見し、ベンダー側での検出が可能な状態に至っている。

Including the phishing domain in the server request
Leaking the phishing domain in the server request (Zscaler)

Zscaler が立ち上げた、攻撃者を歩き回らせるためのテスト・インスタンスにおいて、侵害後のアクティビティを監視したところ、ハッカーは侵害の8分後にアカウントにログインしていることが分かった。ただし、アカウントにログインして評価し、メッセージの一部を読むほかに、脅威者は追加のアクションを実行しなかったという。

この記事で説明されているフィッシング・キャンペーンですが、金融期間で働くエグゼクティブのアカウントからフィシング・メールが発信され、また、金融機関の名を語るタイポスクワッティングがあり、オープンリダイレクトの脆弱性の悪用もあるという、複数のシナリオを並行して走らせているような感じですね。その一方で、Evilginx2/Muraena/Modilshka といった、リバース・プロキシ・ツールを用いて、MFA を回避する脅威アクターたちもいるようです。この種の敵対者を、AiTM (adversary in the middle) と呼ぶそうですが、日本語だけではなく英語サイトでも、AiTM を定義しているコンテンツは見つかりませんでした。この記事のソースである Zscaler の記事の、さらなるソースである Microsoft の、From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud という記事が、AiTM の名付け親なのでしょうかね?ちょっと整理しきれていませんが、そのうちに明確になっていくでしょう。

%d bloggers like this: