AiTM フィッシング・キットを提供する DEV-1101:Microsoft を装う大規模キャンペーンに御用心

DEV-1101 AiTM phishing kit is fueling large-scale phishing campaigns

2023/03/14 SecurityAffairs — Adversary-in-the-middle (AiTM) フィッシング・キットは、サイバー犯罪のエコシステムにおける多数の脅威アクターたちが、フィッシング攻撃を仕掛ける際に用いる必須の技術になり始めてきた。AiTM フィッシングは、リバース・プロキシ機能により、脅威アクターたちに多要素認証 (MFA) 回避術を提供する。

AiTM フィッシングを用いる脅威アクターたちは、標的ユーザーが訪問する Web サイト (攻撃者の制御下にあるフィッシング・サイト) にプロキシサーバを設置する。このプロキシサーバにより、攻撃者は被害者のトラフィックにアクセスし、パスワードとセッション・クッキーを取得する。

現時点で Microsoft が追跡しているのは、サイバー犯罪のアンダーグラウンドで販売/レンタルされている、複数の AiTM フィッシング・キットの開発/サポート/広告などに従事している、DEV-1101 と呼ばれる脅威アクターである。


2022年5月以降において DEV-1101 は、高度なフィッシング攻撃のセットアップと起動を自動化する、オープンソースのキットを提供している。このフィッシング・キットは 2022年を通じて継続的に強化され、キャンペーンをモバイル・デバイスから管理する機能や、CAPTCHA ページ回避機能などを追加している。

2022年7月〜12月にかけて、このツールの人気が急速に高まったことで、その価格は何回も引き上げられた。この記事を執筆している時点では、$300ドル で提供され、VIP ライセンスは $1,000 となっている。ただし、レガシーユーザーに対しては、2023年1月1日以前において $200 でライセンスが提供されていた。

このキットは、Microsoft Office/Outlook などのサービスを模倣した、フィッシング・ページを提供している。このツールキットを用いて、数百万件/日のフィッシング・メールが送信されており、Microsoft も大規模なキャンペーンについて警告している。

Microsoft は、「DEV-1101 が提供するツールを用いて、1日あたり数百万通のフィッシング・メールを配信するという、多数の脅威アクターたちによる大規模なフィッシング・キャンペーンを観察している。2022年9月から追跡している脅威アクター DEV-0928 は、DEV-1101 の顕著な後援者であり、100万通以上のメールで構成されフィッシング・キャンペーンを開始していると捉えている」と分析している。

このレポートが紹介するのは、DEV-0928 として追跡される脅威アクターが開始したキャンペーンなどを含む、DEV-1101 フィッシング・キットで組織化された、いくつかのキャンペーン事例である。


AiTMフィッシングの攻撃チェーンは、PDF 文書へのリンクなどを含む、文書をテーマにした電子メールで開始される。それらのリンクをクリックすると、受信者は Microsoft のサインイン・ポータルを装うログインページに誘導されるが、CAPTCHA のステップを完了するよう被害者に促すことはない。

Microsoft は、「このキットにより、脅威アクターは CAPTCHA を用いて、検出を回避することも可能になる。フィッシング・シーケンスに CAPTCHA ページを挿入することで、自動化されたシステムが、最終的なフィッシング・ページに到達することが難しくなるが、その一方で、人間は次のページを簡単にクリックできるようになる」と述べている。

Microsoft がユーザー組織に推奨しているのは、このレポートに記載されているようなフィッシング攻撃では、迂回できない認証方法の採用である。この、推奨される認証方法には、FIDO2 セキュリティキーの使用/Microsoft Authenticator/証明書ベースの認証が含まれる。

2022年の夏ころから、Adversary-in-the-middle (AiTM) という用語を、よく見かけるようになりました。今日の記事の冒頭で説明されているように、ユーザーの信頼を得ているブランドを模倣した Web ページと、プロキシサーバの組み合わせで、パスワードとセッション・クッキーを取得するという攻撃手法が進化しています。そして、AiTM フィッシング・キットまでが登場したようです。よろしければ、以下の記事を、ご参照ください。

2023/03/01:MFA バイパス:3種類の侵入ベクター
2022/11/12:Cookie 窃取と MFA バイパス

2022/10/08:18.8% の確率で MS プラットフォーム防御を回避
2022/08/24:Google G-Suite を狙う AiTM フィッシング
2022/08/24:BEC の新たな手口:AiTM で MFA を突破
2022/08/23:ChromeOS の脆弱性 CVE-2022-2587 が FIX
2022/08/03:Microsoft のメール認証情報を狙うフィッシング
2022/07/14:Microsoft 警告:BEC を目的とするフィッシング

%d bloggers like this: