Microsoft 365 に新たなフィッシング攻撃:暗号化された RPMSG メッセージの悪用を検出

Microsoft 365 phishing attacks use encrypted RPMSG messages

2023/05/25 BleepingComputer — 侵害済の Microsoft 365 アカウント経由で送信された、暗号化された RPMSG 添付ファイルを使用して、メールセキュリティ・ゲートウェイによる検出を回避しながら、攻撃者たちは標的型フィッシング攻撃で Microsoft の認証情報を盗み出している。RPMSG (Restricted Permission Message) ファイルとは、Microsoft の Rights Management Services (RMS) を用いて作成された、暗号化電子メール・メッセージの添付ファイルであり、そのアクセスを許可された受信者だけに制限することで、機密情報の保護を強化するものだ。

このファイルを読むためには、Microsoft のアカウント認証もしくは、ワンタイム・パスコードの取得により、対象となるコンテンツを復号化する必要がある。

先日に Trustwave が発見したように、偽のログイン・フォームでターゲットを騙して、Microsoft の認証情報を窃取するために、RPMSG 認証要件が悪用されている。

Trustwave は、「この攻撃は、侵害した Microsoft 365 アカウントから発信された電子メールから始まっている。現時点で観測されているのは、決済処理会社である Talus Pay から発信されている偽メールだ。標的にされたのは、同社の契約会社の請求部門のユーザーであり、そのメッセージには、Microsoft の暗号化されたメッセージが表示されている」と述べている。

この脅威アクターから発信された電子メールが求めるのは、保護されたメッセージを解読して開くための、”Read The Message” ボタンのクリックである。それにより、Microsoft アカウントにサインインするよう要求する、Office 365 Web ページへとリダイレクトさせる。

この正規の Microsoft サービスを使った認証の後に、受信者は攻撃者からのフィッシング・メールを見ることになる。そして、”Click here to Continue” ボタンをクリックすると、Adobe の InDesign サービス上にホストされた、偽の SharePoint ドキュメントを受信することになる。

Protected phishing email
Protected phishing email (Trustwave)

続いて、”Click Here to View Document” をクリックすると、最終的に空のページが表示され、タイトルバーに “Loading…Wait” というメッセージが表示される。しかし、それはオトリであり、その間に悪意のスクリプトが走り出し、さまざまなシステム情報が収集されていく。

収集されるデータに含まれるのは、訪問者 ID/接続トークンとハッシュ/ビデオカードレンダー情報/システム言語/デバイスメモリ/ハードウェア並行処理/インストール済のブラウザプラグイン/ブラウザウィンドウの詳細/OS アーキテクチャなどである。

このスクリプトによるターゲット・データの収集が終わると、ページにはクローンされた Microsoft 365 のログイン・フォームが表示され、入力されたユーザー名とパスワードが。攻撃者の管理するサーバへと送信される。

Trustwave の研究者が観察したように、この種のフィッシング攻撃に対する検出/対策は、その量の少なさと標的型の性質から、きわめて困難であることが判明している。

さらに、攻撃者がフィッシング・メールの送信やコンテンツのホストに、Microsoft/Adobe などの信頼できるクラウド・サービスを悪用しているため、信頼性のレイヤーが追加され、さらに複雑化している。

最初のフィッシング・メールに含まれる唯一のハイパー・リンクが、潜在的な被害者を正規の Microsoft サービスに誘導している。そのため、暗号化された RPMSG 添付ファイルにより、このフィッシング・メッセージは、電子メール スキャン・ゲートウェイからも隠蔽されてしまう。

Trustwave は、「この種のフィッシング攻撃らかのリスクを、軽減しようと試みる企業は、脅威の性質についてユーザーを教育し、外部ソースが要求する予期せぬメッセージの解読やロック解除を避けるべきだ。Microsoft 365 アカウントの漏洩を防ぐためにが、多要素認証 (MFA) を有効化も推奨できる」とアドバイスしている。

かなり手の込んだ、フィッシングの手口ですね。つい先日の 2023/05/10 にも、「Greatness という Phishing-aaS:強力なサービス・セットで Microsoft 365 ユーザーを標的に!」という記事がありましたので、よろしければ、ご参照ください。また、Microsoft + Phishing で検索も、ご利用ください。