Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!

New ‘Greatness’ service simplifies Microsoft 365 phishing attacks

2023/05/10 BleepingComputer — Greatness という名の Phishing-as-a-Service (PhaaS) プラットフォームは、Microsoft 365 を使用している組織を、米国/英国/カナダ/オーストラリア/南アフリカでターゲットとしており、活動量を急増させていることが判明した。クラウドベースの Microsoft 365 は、世界中の多くの組織で使用されており、ネットワーク侵害で悪用するデータや認証情報を盗み出すサイバー犯罪者にとって、貴重なターゲットになっている。


Cisco Talos の最新レポートで研究者たちは、「2022年半ばに発見された Greatness PhaaS プラットフォームは、2022年12月に活動が急増し、その後の 2023年3月に再び活性化している。被害者の多くは米国に在住しており、その標的となっているのは、製造業/医療/テクノロジー/教育/不動産/建設/金融/ビジネスサービスなどの分野に従事している人々だ」と述べている。

Percentage of victims of Greatness-backed attacks (Cisco)
Greatness 攻撃

Greatness Phishing-as-a-Service には、フィッシングを行う脅威アクターが、キャンペーンを成功させるために必要とする全てが含まれている。攻撃を開始する脅威アクターは、API キーを用いて Greatness 管理パネルにアクセスし、ターゲットとなるメール・アドレスのリストを受け取る。

この PhaaS プラットフォームは、フィッシング・ページをホストするサーバや HTML 添付ファイルを生成するサーバなどの、必要なインフラも割り当てるという。その後に、アフィリエイターとなった脅威アクターは、メール・コンテンツを作成し、素材やデフォルト設定などを、必要に応じて変更することになる。

Email attachment builder
Email attachment builder (Cisco)

攻撃が開始されると、このサービスは被害者にメールを送り、被害者は HTML が添付されたフィッシング・メールを受け取る。この添付ファイルを開くと、難読化された JavaScript コードがブラウザで実行され、Greatness サーバとの接続が行われ、ユーザーに対してフィッシング・ページが表示される。

このフィッシング・サービスは、雇用主の実際の Microsoft 365 ログイン・ページから抽出した、ターゲット企業のロゴと背景画像を自動的に注入する。

Phishing page generated by Greatness
Phishing page generated by Greatness for a Cisco Talos employee (Cisco)

Greatness は、正当性を装うために、正しい電子メールを事前に入力する。したがって、説得力のあるフィッシング・ページで、被害者はパスワードを入力することになる。

この時点で、被害者の Web ブラウザと実際の Microsoft 365 のログイン・ページの間で、Greatness はプロキシとして機能し、ターゲット・アカウントの有効なセッション Cookie を取得するための認証フローを処理する。

The platform's functional diagram
The platform’s functional diagram (Cisco)

標的アカウントが2要素認証で保護されている場合には、Greatness は被害者に2要素認証の提供を促し、それと同時に、実際の Microsoft サービス上でリクエストをトリガーし、ワンタイム・コードがターゲットのデバイスに送信されるようにする。

Phishing page prompts the victim to enter a one-time code
Phishing page prompts the victim to enter a one-time code​​​​ (Cisco)

MFA コードが提供されると、Greatness は本物の Microsoft プラットフォーム上で認証を済ませ、認証済みのセッション Cookie を、Telegram チャネルまたは Web パネルを介してアフィリエイトに送信する。

Cisco は、「認証されたセッションは、しばらくするとタイムアウトするのが一般である。Telegram ボットが使用される理由は、そこにあるのかもしれない。有効な Cookie を、可能な限り迅速に攻撃者へと通知し、ターゲットが攻撃対象として有益とハンダすれば、直ちに到達できるようにしている」と説明している。

その後に攻撃者は、このセッション Cookie を悪用し、被害者の電子メール/ファイルに加えて、Microsoft 365 サービス内のデータにアクセスできるようになる。

多くのケースにおいて、盗まれた認証情報は、企業ネットワークの侵入にも悪用され、ランサムウェアの展開など危険な攻撃へとつながっていく。

Greatness は、至れり尽くせりの Phishing-as-a-Service ですね。PhaaS という用語を初めて見たのは、2021/09/22 の「Microsoft 警告:Phishing-as-a-Service が流行りだしてきた」ですが、その後に、以下のようなポストされてきました。なお、2022/03/24 の「Phishing Kit を解説:検出を回避する手口と延命のための悪知恵とは?」も、なかなか興味深い内容の記事となっています。

2022/11/07:Robin Banks:機能を充実させて脅威を増大させる
2022/10/10:Caffeine:ディフォルト標的は Microsoft 365
2022/09/05:EvilProxy:低スキル・ハッカーに高度な手口を提供

%d bloggers like this: