Caffeine という Phishing-as-a-Service:ディフォルト標的は Microsoft 365

Caffeine service lets anyone launch Microsoft 365 phishing attacks

2022/10/10 BleepingComputer — Phishing-as-a-Service (PhaaS) プラットフォームである Caffeine は、脅威アクターによる攻撃を容易にするものであり、誰もが簡単に登録して独自のフィッシング・キャンペーンを開始できるという特徴を持っている。Caffeine は招待/紹介を必要とせず、管理者から承認を Telegram やハッキング・フォーラムで得る必要もない。そのため、この種のプラットフォーム全体の特徴である、面倒さの多くを取り除いている。

また、多くの PhaaS プラットフォームが、欧米をターゲットにしているのに対して、Caffeine のフィッシング・テンプレートでは、ロシア/中国などをターゲットにしている点も特徴である。


Mandiant のアナリストたちは、Caffeine を発見し、徹底的にテストした。そして、その PhaaS における参入障壁の低さを指摘し、心配になるほど機能が豊富であることを報告している。

Mandiant が Caffeine を発見したのは、同社のクライアントを標的とし、Microsoft 365 のアカウント情報を盗み出そうとする、大規模なフィッシング・キャンペーンを調査したときだとされる。

フィッシング・キャンペーンを助長する

Caffeine を使用する際には、アカウントを作成した直後に専用ストアにアクセスし、フィッシング・キャンペーン用のツールやダッシュボードなどを入手する必要がある。

Caffeine's main dashboard
Caffeine’s main dashboard (Mandiant)

続いて利用者は、機能に応じたサブスクリプション・ライセンスを購入する必要があり、1ヶ月 $250ドル/3ヶ月 $450/6ヶ月 $850 といった費用が生じる。

Caffeine prices promoted on a hacker forum
Caffeine promoted on a hacker forum (Mandiant)


この価格構成は、一般的な PhaaS のサブスクリプションと比較して 3~5倍となるが、アンチ・ディテクション/アンチ・アナリシスシ・ステム/カスタマー・サポート・サービスを提供することで、Caffeine は価格差を補おうとしている。

フィッシングのオプションという点で、Caffeine プラットフォームには高度な機能が存在する。

  • 動的な URL スキーマをカスタマイズし、被害者固有の情報を事前に入力したページを、動的に生成する仕組み。
  • 第一段階のキャンペーン用リダイレク・トページと最終的なルアー・ページの仕組み。
  • ジオブロック/CIDR レンジベースのブロックなど、IP ブロック・リスト作成オプション。
IP blocklisting options
Blocking options to filter out bot traffic (Mandiant)

オペレーターは、フィッシング・キャンペーンに必要な主要パラメータを設定した後に、現時点では Microsoft 365 のログインページに限定されているフィッシング・キットを展開し、フィッシング・テンプレートを選択する。

The Microsoft 365 phishing page used by the phishing kit
The Microsoft 365 phishing page used by the phishing kit (Mandiant)

Caffeine は、Microsoft 365 や、中国/ロシアのプラットフォーム向けの、複数のフィッシング・テンプレートを用意し、各種のルアーなども提供している。Mandiant は、さらに追加が、近日中に行われると推測している。

Template targeting Chinese users
Template targeting Chinese users (Mandiant)

また、このプラットフォームでは、事業者独自の Python/PHP ベースのメール管理ユーティリティが提供され、ターゲットに対するフィッシング・メールの送信が可能なため、外部ツールへの依存を削減できる。

PHP email sender utility
Caffeine’s PHP email sender utility (Mandiant)

Mandiant のアナリストたちは、「Caffeine を利用したフィッシング・メールを検出するためのガイダンスを提供しているが、この詐欺師が、新しい回避技術を採用する可能性は高いため、このレポートのセクションは廃止される可能性がある」と述べている。

残念ながら、Caffeine は、自動化されたプラットフォームを求める、低スキルのサイバー犯罪者が利用できる選択肢の1つであり、より多くのテンプレートがコレクションに追加されると、より大きな問題となる可能性がある。

2021年9月に、Phishing-as-a-Service (PHaaS) が流行りだしてきたという、Microsoft の警告がありました。そして、2022年に入ってから、2月17日に「2022年の脅威を予測する:Malware-as-a-Service と Phishing-as-a-Service と・・・」という記事があり、9月5日には、より具体的な「EvilProxy という Phishing-as-a-Service:低スキル・ハッカーに高度な手口を提供」が紹介されています。どんどんと、参入障壁が引き下げられ、また、サービス間の競争が激しくなることで、フィッシング・キャンペーンが増えるのでしょう。

%d bloggers like this: