EvilProxy という PhaaS:大規模なクラウド・アカウント乗っ取りに利用されている

EvilProxy used in massive cloud account takeover scheme

2023/08/09 SecurityAffairs — Microsoft 365 アカウントの窃取を狙う EvilProxy が、100以上の組織へ向けて 12万通のフィッシング・メールを送信していることが確認された。それにより、クラウド・アカウントの侵害が、過去5ヶ月間に急増していることを、Proofpoint が発見した。攻撃の大半は、高位の幹部を標的としていた。研究者たちは、このキャンペーンは全世界の 100以上の組織/150万人の従業員を対象としていると推定している。被害者の約 39% はCレベルのエグゼクティブであり、そのうち 17% は最高財務責任者 (CFO) であり、9% は最高経営責任者 (CEO) だったという。


Proofpoint はレポートで、「攻撃者は、リバース・プロキシ・アーキテクチャをベースにしたフィッシング・ツール EvilProxy を利用して、MFA で保護された認証情報とセッション・クッキーを盗み出している。あらゆる組織において多要素認証の導入が進む中で、高度な中間者攻撃型フィッシングと高度なアカウント乗っ取り手法を、組み合わせた手口が蔓延している」と詳述している。

研究者たちは、MFA 保護を導入しているテナントにおいても、アカウント乗っ取りの大幅な増加を観測している。過去1年間に侵害された全ユーザーの、少なくとも 35%は MFA を有効にしていたという。

攻撃者は、ブランドのなりすまし/回避テクニックや、オープンかつ正規のりダイレクターを経由して、トラフィックをリダイレクトするという、きわめて大規模な多段階の感染チェーンを採用している。

EvilProxy (別名 Moloch) は、ダークウェブで販売されている PhaaS (Phishing-as-a-Service) プラットフォームであり、2022年9月に ReSecurity の研究者たちにより発見されたものだ。EvilProxy は、以前に金融機関や e コマース業界をターゲットに開発された、いくつかの有名なアンダーグラウンド・アクターのフィッシング・キットと、何らかの関係があると見られている。

EvilProxy を展開する脅威アクターは、2FA 認証を回避するためにリバース・プロキシとクッキー・インジェクションを使用し、被害者のセッションをプロキシしている。以前においては、APT やサイバースパイ・グループの標的型キャンペーンで、このような手法は見受けられたが、現在では、EvilProxy で製品化が成功している。つまり、オンライン・サービスや MFA 認証メカニズムに対して、攻撃が増加している状況が浮き彫りにされている。

EvilProxy

このキャンペーンにおける攻撃チェーンは、なりすましメール・アドレスから送信されたフィッシング・メールから始まる。攻撃者は、Concur/DocuSign/Adobe などの信頼できる著名なサービスになりすましていた。

それらのフィッシング・メッセージには、悪意 のMicrosoft 365 フィッシング・サイトへのリンクが埋め込まれていた。そのリンクをクリックすると、受信者は YouTube/SlickDeals などを経由するオープンなリダイレクトを経て、検知を避けるための一連のリダイレクトを繰り返す。

Proofpoint は、「最終的に、ユーザーのトラフィックは EvilProxy フィッシング・フレームワークに誘導される。このランディング・ページはリバース・プロキシとして機能し、受信者のブランド名を模倣し、サードパーティ ID プロバイダの処理を取り扱おうとする。これらのページは、必要に応じて、被害者に代わって実際に認証を成功させるために、MFA 認証情報を要求する可能性がある」と指摘する。

EvilProxy


研究者たちは、この攻撃チェーンが、被害者の地理的位置に依存していることを発見した。トルコの IP アドレスから発信されたユーザー・トラフィックは、正規の Web ページに誘導されていた。つまり、このキャンペーンの背後にいる脅威アクターの拠点が、トルコであると考えられる。

Proofpoint は、「脅威アクターが常に模索しているは、ユーザーの認証情報を盗み出して、貴重なユーザー・アカウントへのアクセスを獲得するための、新しい方法である。彼らの手法やテクニックは、多要素認証のような新しいセキュリティ製品や方法論に常に適応している。このレポートが示すように、MFA でさえ高度な脅威に対する特効薬にはなり得ず、さまざまな形態のメールとクラウドを組み合わせた攻撃により、バイパスされる可能性がある。リバース・プロキシの脅威は、特に EvilProxy の脅威は、現在のダイナミックな状況において強力であり、これまでの能力の低いフィッシュ・キットを凌駕している」と結論づけている。

EvilProxy に関しては、2022/09/05 に「EvilProxy という Phishing-as-a-Service:低スキル・ハッカーに高度な手口を提供」という記事があり、その後には、2023/06/14 の「MFA 侵害キットの台頭:月間で 100万件のバイパス・メッセージを記録 – Proofpoint」にも登場しています。後者の記事で Proofpoint は、2022年において、特に多用されたものとして、EvilProxy/Evilginx2/NakedPages という3つの人気ツールキットを挙げています。