BEC の新たな手口:AiTM で MFA を突破して決済者の Microsoft 365 アカウントを狙う

Hackers use AiTM attack to monitor Microsoft 365 accounts for BEC scams

2022/08/24 BleepingComputer — 巧妙なスピアフィッシングと中間者攻撃 (AiTM:Adversary-in-The-Middle) を組み合わせて、企業の幹部たちの Microsoft 365 アカウントをハッキングする、新しいビジネスメール詐欺 (BEC:Business Email Compromise) キャンペーンが発見された。このキャンペーンの対象には、MFA で保護されているアカウントも含まれるという。

脅威アクターたちは、大企業の CEO/CFO などの上級社員のアカウントにアクセスして通信を監視する。そして、適切なタイミングでメールを送信することで、高額の現金を自分の口座に横流しさせる。それはビジネスメール詐欺の典型的な手法であり、脅威アクターは決済の最後的な段階で、侵害したアカウントから詐欺メールを送信し、決済の承認者に対して銀行口座の宛先を変更するよう要求する。

Mitiga の研究者たちは、あるインシデントへの対応中に、この新しいキャンペーンを発見した。このキャンペーンは、現時点でも広く展開されており、それぞれ最大数百万米ドルの取引を標的にしていると報告されている。

一連の攻撃において、脅威アクターはターゲットに対して、通常の支払い先である銀行口座が、財務監査のために凍結されたというフィッシング・メールを送信する。そして、子会社だと偽る、新しい支払い先を提示するが、これは脅威アクターが所有する銀行口座であり、そこから支払われた現金を盗み出すことになる。

攻撃者は受信者を騙すために、メールのスレッドを乗っ取り、タイポスクワッティング・ドメインを使用する。そして、被害者が信頼している法的代理人に対しても、CC でメールを送信して、そのやりとりに参加させる。

スレッド乗っ取りとなりすましメールアドレス (Mitiga)

妥協点から MFA の永続化へ

企業の幹部たちへの攻撃は、広く使用されている電子契約管理プラットフォーム DocuSign からの発信に見せかけた、フィッシング・メールから始まる。

この種のメールは、DMARC (Domain-based Message Authentication, Reporting, and Conformance) チェックを通過できない。しかし Mitiga は、DocuSign におけるスパム警告の誤検出を減らすための、一般的なセキュリティの誤設定により、フィッシングメールがターゲットの受信トレイに届くのを許していることを発見した。

Phishing messages sent to targeted executives
ターゲットとなった役員に送られたフィッシングメッセージ (Mitiga)

詐欺メールを受信したターゲットが、Review Document ボタンをクリックすると、偽装されたドメインのフィッシング・ページへと誘導され、Windows ドメインへのログインが要求される。

脅威アクターは、evilginx2 プロキシなどのフィッシング・フレームワークを使用して、中間者攻撃 (AiTM) を実行していると考えられている。AiTM 攻撃では、evilginx2 のようなツールが、標的となった企業のフィッシング・ページと正規のログイン・フォームの中間に位置する、プロキシとして機能する。

プロキシが中間に位置するために、被害者が認証情報を入力し、MFA の質問を解決すると、プロキシは Windows ドメインにより生成されたセッション。クッキーを盗み取る。脅威者は、盗んだセッション・クッキーを自分のブラウザにロードして、被害者のアカウントに自動的にログインする。つまり、前回のログインで検証されているため、MFA の回避が可能になるのだ。

Attackers adding the phone as a new MFA device
攻撃者が携帯電話を新しい MFA デバイスとして追加 (Mitiga)

有効なセッションは失効する可能性があるため、攻撃者は新しい MFA デバイスを追加し、それを侵害した Microsoft 365 のアカウントにリンクさせる。この方法ではアラートは発生せず、元のアカウントの所有者との更なるやり取りを必要としない。Mitiga が確認したケースでは、携帯電話を新たな認証用デバイスとして追加した攻撃者は、侵害されたアカウントへの中断のないアクセスを確保していた。

研究者たちによると、このステルス侵害に成功した脅威アクターたちは、Exchange/SharePoint にほぼ独占的にアクセスしていた。ログによると、脅威アクターは被害者の受信トレイに対しては何のアクションも取らず、メールを読んでいただけだと思われる。そして、脅威アクターは、請求書に対する支払い先を、自身の管理下にある銀行口座に変更させるために、独自のメールを注入するタイミングを待っていたと推測される。

巧妙なスピアフィッシングと、中間者攻撃 (AiTM:Adversary-in-The-Middle) を組み合わされ、MFA を突破され、被害者の側からは何も気づかない状態で、さまざまな業務の流れた資金の流れを把握されてしまう怖さを感じます。そして、攻撃者にとっては最高のタイミングで、つまり、被害者にとっては最悪のタイミングで、一撃が放たれるわけです。よろしければ、BEC で検索も、ご利用ください。

%d bloggers like this: