Attackers used malicious “verified” OAuth apps to infiltrate organizations’ O365 email accounts
2023/01/31 HelpNetSecurity — ”Publisher identity verified” マークを取得したサードパーティ製 OAuth アプリが、英国/アイルランドの組織を標的とする、未知の攻撃者に利用されていることを、Microsoft が明らかにした。この攻撃は、2022年12月初旬に Proofpoint の研究者が発見したものであり、SSO/Zoom になりすました3つの不正なアプリが関与しているという。この手口に騙されたターゲット組織は、一連の不正アプリにより O365 メールアカウントにアクセスされ、組織のクラウド環境への侵入を許してしまった。
Proofpoint の研究者たちは、「組織への潜在的な影響としては、ユーザーア・カウントの侵害/データの流出/なりすまし組織のブランドの悪用/ビジネスメール詐欺 (BEC:Business Email Compromise) /メールボックスの悪用などがある」と説明している。
OAuth アプリを使った MFA の回避
多要素認証 (MFA) の普及に伴い、フィッシング/パスワード・ブルートフォースといった従来からのアカウント乗っ取り手法が無効になった。そのため、一部の攻撃者は、標的のアカウントに長時間アクセスするための、コンセント・フィッシング攻撃キャンペーンへと移行し始めている。彼らは、サードパーティの不正な OAuth アプリケーションを経由して、ターゲットのメールボックス/カレンダー/会議情報などを検索するために必要な、アクセス権とパーミッションを獲得する。
この攻撃手法は新しいものではないが、攻撃を仕掛けるために多大な労力を必要とするため、広く展開されているわけではない。
今回のケースでは、Microsoft を欺くことで、Single Sign-on (SSO) と Meeting という、古い Zoom のアイコンが付く3つの不正アプリに “Publisher identity verified” の青いバッジを与え、それらを信頼するターゲットのアカウントへの、アクセスを許可するように仕向けられていた。
Microsoft によると、攻撃者は Microsoft Cloud Partner Program に登録する際に正規の企業になりすまし、不正なパートナー・アカウントを使って Azure AD で作成した、OAuth アプリの登録に “verified publisher” を付与していたようだ。
ターゲットとされたユーザーは、publisher verified バッジ/既存の正規パブリッシャー名と酷似したパブリッシャー名/各アプリの同意書に埋め込まれた成りすまし組織の Web サイト URL に騙されたのだ。
Proofpoint の研究者たちは、「アプリケーションの承認リクエストは、アプリケーションの同意画面にリンクされている、パーソナライズされた .html/.htm ファイルを通じて拡散される。これらのファイルが、どのように配信されたかのかは明らかにされていないが、フィッシング・メールが最も可能性の高いメカニズムだ」と述べている。
悪意の OAuth アプリの脅威を軽減する – “検証済み” ?
このキャンペーンは 2022年12月27日まで続き、その後に Microsoft は、悪意のアプリケーションを無効化し、影響を受けるユーザーに通知した。
Proofpoint の研究者たちは、「我々の分析によると、このキャンペーンは主に英国に拠点を置く組織とユーザーを対象としていたようだ。影響を受けたユーザーの中には、金融担当/マーケティング担当者/マネージャー/エグゼクティブといった、知名度の高いユーザーが含まれていた」と指摘している。
研究者たちは、「我々は、影響を受けたユーザーに対して、追加の修正が必要かどうかを調査/確認し、全てのユーザーがコンセント・フィッシングから保護するための措置を講じることを推奨する。Microsoft は、MCPP 審査プロセスを改善し、将来における同様の詐欺行為のリスクを減らすために、追加のセキュリティ措置をいくつか実施した」と加えている。
これらの攻撃を見抜くためには、組織は従業員を訓練する必要があるが、それでも攻撃者が採用するソーシャル・エンジニアリングの手口は、一部の従業員を欺く可能性がある。
研究者たちは、「サードパーティ・アプリへのアクセスを許可するリスクと利点を、組織として慎重に評価する必要がある。さらに、ユーザーの同意を、検証済みの発行元と、リスクの低い権限を持つアプリに制限する必要がある」と述べている。また、悪意のあるサードパーティ製 OAuth アプリを検出した場合は、企業のセキュリティ・チームに通知するセキュリティ・ソリューションを導入する必要もある。
研究者たちは、「悪意の OAuth アプリをクラウド環境から削除するなどの、自動化された修正アクションにより、脅威アクターの滞留時間を大幅に短縮すれば、不正アクセス後のリスクの大半を防ぐことができる」と指摘している。
OAuth 検証を取得した、偽アプリによる攻撃が発生しているとのことです。それなりに手間もコストも掛かるはずですが、それにも増して得られるものがあるのでしょう。最近の目新しい侵入経路としては、以下のようなものがあります。
2023/01/21:OneNote ファイル:マルウェア配布の新たな経路
2023/01/13:StrRAT/Ratty マルウェア:ポリグロット方式
2023/01/10:AnyDesk 偽サイト:Vidar マルウェアを配布
2023/01/08:Turla APT:10年前のインフラからバックドアを展開
2023/01/07:Zoom と IcedID マルウェア:精巧な偽 Web ページ
IoT OT Security News 
You must be logged in to post a comment.