Google G-Suite 企業ユーザーを狙う AiTM フィッシング攻撃に注意

Researchers Warn of AiTM Attack Targeting Google G-Suite Enterprise Users

2022/08/24 TheHackerNews — Microsoft メールサービスの企業ユーザーを標的とする、大規模な中間者 (AiTM : Adversary-in-The-Middle) フィッシング・キャンペーンを仕掛けている脅威アクターたちが、Google Workspace のユーザーにも狙いを定めていることが明らかになった。Zscaler の研究者である Sudeep Singh と Jagadeeswar Ramanukolanu は、今月に発表したレポートで、「このキャンペーンは、Google Workspace を使用する、さまざまな組織の最高責任者などの、上級メンバーの標的を絞り込んでいる」と詳述している。


AiTM フィッシング攻撃が始まったのは、2022年7月の中旬だと言われている。この攻撃は、ユーザーの Microsoft 認証情報を吸い上げ、多要素認証を回避するために設計された、ソーシャルエンジニアリング・キャンペーンと同様の手口で行われている。

一部の Gmail に対する AiTM フィッシング・キャンペーンでは、最高経営責任者の漏洩メールを利用したソーシャル・エンジニアリングが行われている。この攻撃では、いくつかの侵害したドメインを中間 URL リダイレクターとして悪用し、被害者を最終的なランディング・ページへと誘導する。


この攻撃チェーンに含まれるものとしては、「アクセス権を延長する」という不正なリンクを埋め込んだ、パスワード期限切れを示唆するメールの、ターゲットへの送信などがある。このリンクをタップした受信者は、Google 広告や Snapchat のリダイレクトページを開いて、フィッシング・ページの URL をロードすることになる。

オープン・リダイレクトの悪用とは別に、この攻撃の第2の亜種は、次の段階のリダイレクタの Base64 エンコード・バージョンと、URL 内に被害者のメール アドレスをホストする、感染させたサイトに依存するものだ。この場合には、Gmail のフィッシング・ページを指し示す JavaScript コードが、中間リダイレクタとなる。

Zscaler が取り上げた事例では、2022年7月11日の Microsoft AiTM フィッシング攻撃のリダイレクトページが再利用され、2022年7月16日には Gmail AiTM フィッシングページに誘導するよう更新されていた。つまり、2つのキャンペーンが、同一の脅威アクターによるものだと示唆されている。

研究者たちは、「さらに、インフラの重複も発見された。脅威アクター同じインフラを使用して、Microsoft AiTM フィッシングから Gmailフィッシングへと、切り替えたケースも複数確認された」と述べている。

この調査結果は、多要素認証の安全対策だけでは、高度なフィッシング攻撃から保護できないことを示している。ユーザーは認証情報を入力する前に URL を精査し、信頼できないメールや、不明な送信元からのメールの、添付ファイルの開封やリンクのクリックをしないよう、注意しなければならない。

先ほどの、「BEC の新たな手口:AiTM で MFA を突破して決済者の Microsoft 365 アカウントを狙う」には、AiTM フィッシング → MFA バイパス → BEC というキルチェーンが解説されていましたが、それと同様のことが Google G-Suite 企業ユーザーにも仕掛けられているようです。いつの間にか、お馴染みになってしまった AiTM (Adversary-in-The-Middle) ですが、この攻撃パターンが発見されたのが7月中旬だというのには、ちょっと驚きました。よろしければ、AiTM で検索も、ご利用ください。

%d bloggers like this: