バンキング AitM Phishing/BEC 攻撃の増大:Microsoft が金融機関に発した警告とは?

Microsoft Uncovers Banking AitM Phishing and BEC Attacks Targeting Financial Giants

2023/06/09 TheHackerNews — Microsoft が明らかにしたのは、銀行/金融サービス機関が、新たな多段階 AitM (adversary-in-the-middle) フィッシングおよび BEC (business email compromise) 攻撃の標的になっていることだ。6月8日の報告書で同社は、「この攻撃は、信頼できるベンダーから発生し、複数の組織にまたがる一連の AiTM 攻撃と、それに続くBEC 活動へと移行している」と述べている。このクラスターについて、Microsoft は Storm-1167 という名称で追跡しているが、その攻撃において間接プロキシが使用されていたことを指摘している。


このプロキシにより、攻撃者はフィッシング・ページをターゲットに合わせて柔軟に調整し、セッション・クッキーを盗むことを可能にしている。つまり、AitM 攻撃の高度化が進んでいることが浮き彫りになっている。

この手口は、他の AitM キャンペーンとは異なり、おとりページがリバース・プロキシとして機能し、被害者が入力した認証情報や TOTPs (time-based one-time passwords) を採取していく。

Microsoft は、「攻撃者は、従来からのフィッシング攻撃と同様に、クラウドサービス上でホストされている、偽のサインイン・ページを、ターゲットに対して提示している。こうした、偽のサインイン・ページには、攻撃者が制御するサーバからロードされたリソースが含まれており、被害者の認証情報を用いてターゲット・アプリケーションの認証プロバイダーとの認証セッションを開始する」と述べている。

観測された攻撃チェーンは、リンクを指し示すフィッシング・メールから始まり、そのリンクをクリックした被害者は、偽の Microsoft サインイン・ページにアクセスし、認証情報と TOTP を入力するように促される。

その後に攻撃者は、騙し取ったパスワードとセッション・クッキーを使ってユーザーになりすまし、リプレイ攻撃により電子メールの受信トレイに不正アクセスしていく。そして、このアクセスを悪用することで、機密性の高い電子メールを入手し、BEC 攻撃を仕掛けていく。

AitM Phishing and BEC Attacks


さらに、盗み出した認証情報を使ってサインインするために、SMS ベースの新しい 2FA 認証がターゲット・アカウントに追加されるが、それが検知される可能性は低いだろう。

Microsoft の分析によると、侵害したユーザーの組織内外の連絡先や配布リストに、攻撃者から 16,000通以上のメールが送信される、大規模なスパム・キャンペーンが始まっているようだ。

また、この攻撃者は、受信したメールに応答し、その後にメール・ボックスから削除する手順により検知を最小限に抑え、持続性を確立するという、手段を講じていることも観察されている。

一連の攻撃の結果として、フィッシング・メールの受信者は、2回目の AitM 攻撃の標的となる。AitM 攻撃の結果としてアカウントがハッキングされ、認証情報を盗み出されたユーザーのメールボックスから、さらに別のフィッシング・キャンペーンが発動される。

Microsoft は、「この攻撃は、ベンダー/サプライヤー/パートナーなどにおける、組織間の信頼関係を悪用し、金銭的詐欺を目的とする AiTM/BEC の脅威の複雑さを示している」と付け加えている。

BEC 攻撃の急増について、また、BulletProftLink のようなプラットフォームを使用した悪意のメール・キャンペーンについて、Microsoft が警告していたのは、サイバー犯罪者が採用する戦術の進化である。それから、1カ月も経たないうちに、今回の事態が発生した。

Microsoft が、「攻撃キャンペーンがローカルで発生したように見せかけるために、住居用の IP アドレスを使用する手口もある。BEC の実行犯は、被害者の所在地と一致する住宅用 IP サービスから IP アドレスを購入し、住宅用 IP プロキシを作成し、攻撃の出所を隠すようにしている」と説明している。

BEC の攻撃者は、ユーザー名やパスワードに加えて、悪意の活動をサポートするローカライズされたアドレス空間で武装し、動きを不明瞭にし、フラグを回避し、さらなる攻撃を行うためのゲートウェイを開設している。

AiTM フィッシングに関しては、Microsoft 自身が偽装ブランドとして悪用されているためか、とても神経を使っているようです。 2023/03/14 の「AiTM フィッシング・キットを提供する DEV-1101:Microsoft を装う大規模キャンペーンに御用心」で、そのあたりのことが解説されています。よろしければ、Phishing で検索と、AiTM で検索も、ご利用ください。