ONNX という PhaaS と QR コード:Microsoft 365 アカウントに BEC 攻撃を展開

‘ONNX’ MFA Bypass Targets Microsoft 365 Accounts

2024/06/19 DarkReading — 高度に組織化された PhaaS (phishing-as-a-service operation) が、金融企業の Microsoft 365 アカウントを標的とし、2FA (two-factor authentication) バイパスや QR コードの悪用といった高度な回避技術を活用する、BEC (business email compromise) 攻撃を仕掛けていることが、研究者たちにより明らかになった。 6月18日のブログで EclecticIQ のセキュリティ・アナリストたちは、金融機関を標的とする広範なフィッシング・キャンペーンを、2024年2月の時点で発見したと述べている。標的となった組織には、アメリカ大陸/ヨーロッパ/中東/アフリカ (EMEA) 地域における、銀行/プライベート・ファンディング会社/信用組合のサービス・プロバイダーなどが含まれていたという。



EclecticIQ の Threat Intelligence Analyst である Arda Buyukkaya は、「ONNX Store と呼ばれる PhaaS プラットフォームは、Telegram ボット経由でアクセスが可能な、ユーザーフレンドリーなインターフェースで動作している」と述べている。

ONNX サービスの要は、暗号化された JavaScript コードを使用して、被害者からの 2FA リクエストを傍受する 2FA バイパス・メカニズムにある。それにより、検知の可能性を低下させ、攻撃の成功率を高めていると Buyukkaya は指摘する。さらに、攻撃で配信されるフィッシング・ページは、Microsoft 365 のログイン・インターフェースに酷似した typosquatting を用いる仕様になっており、標的を騙して認証情報を入力させる確率を高めている。

ONNX 攻撃のスナップショット

この攻撃で使用されるEメールは、従業員に対して、彼らのハンドブックや給与振込票といって、人事関連の PDF 文書を送信させるように設計されている。この文書は Adobe や Microsoft 365 を装い、受信者を騙して QR コードで添付ファイルを開かせようとするものだ。QR コードをスキャンした受信者は、フィッシング・ランディング・ページに誘導される。

最近のトレンドとして QR コードは、エンドポイントの検知を回避するための、一般的な手口になりつつあると、Buyukkaya は指摘する。彼は、「QR コードは、一般的に、携帯電話でスキャンされる。多くの組織において、従業員のモバイル・デバイスに検知/防止の機能が搭載されていないため、こうした脅威を監視することが困難になっている」と述べている。

また、攻撃者が管理するランディング・ページは、中間者攻撃 (AiTM:adversary-in-the-middle) 方式を用いて、ログイン認証情報と 2FA 認証コードを盗むように設計されていることが、アナリストたちの調査で判明している。

EclecticIQ のブログには、「被害者が認証情報を入力すると、ユーザーのブラウザとサーバの間において、リアルタイムの双方向通信を可能にする WebSocket プロトコルを介して、フィッシング・サーバが入力された情報を収集する。それにより攻撃者は、頻繁に HTTP リクエストを発信することなく、盗み出したデータを素早く取り込み、送信できる」と詳述している。

別の PhaaS のオペレーターである Tycoon も、同様の AiTM テクニックを用いて、多要素認証 (MFA) と Cloudflare の CAPTCHA をバイパスしている。脅威アクターたち相互に学び合い、それに応じて戦略を適応させる状況を示していると、Buyukkaya は述べている。

さらに、ONNX と類似する Caffeine というフィッシング・キットが、Telegram のインフラと広告キャンペーンで使用されていることを、2022年の時点で Mandiant の研究者が発見している。

また、Caffeine を開発/保守していると思われる、アラビア語話者の脅威アクター MRxC0DER が、ONNX ストアにクライアント・サポートを提供しているという話もある。Buyukkaya は、「ONNX ストアは、中央管理のない新しい事業体により、それぞれが独立した管理体制になる可能性が高い」と述べている。

回避の確率を高める JavaScript の暗号化

ONNX フィッシング・キットにおける、もうひとつの検知回避策は、暗号化された JavaScript コードの使用である。JavaScript コードは、ページがロードされる間に暗号化解除されるという、基本的なアンチ JavaScript デバッグ機能を含んでいる。それにより、アンチ・フィッシング・スキャナーに対する防御のレイヤーが追加され、より分析が複雑になっていると、EclecticIQ は述べている。

また、EclecticIQ の研究者たちが発見した別の機能は、復号化された JavaScript コードに、被害者が入力した 2FA トークンを盗み、攻撃者に中継し、攻撃者が盗んだ認証情報とトークンをリアルタイムで使用して Microsoft 365 にログインするように特別に設計されていた。

Büyükkaya は、「この認証情報のリアルタイム・リレーによって、攻撃者は 2FA トークンの有効期限が切れる前に被害者のアカウントに不正アクセスし、多要素認証を回避できる」と述べている。

ONNX フィッシング攻撃の軽減と予防

ONNX Store が使用する手口への対抗策が、ElecticIQ から公開されている。PDF 文書に埋め込まれた QR コードによる脅威を軽減するためには、検証されていない外部ソースからの PDF や HTML 添付ファイルをブロックするよう、メール・サーバの設定を変更する必要がある。また、未知のソースからの QR コードのスキャンに関連するリスクについて、従業員を教育することも必要だ。

脅威アクターが Microsoft を装うために使用した typosquatted ドメインに対抗するためには、この手口を用いる脅威からドメインを保護する、DNSSEC (domain name system security extensions) の実装が推奨される。

また、2FA トークンの盗難に対抗するためには、以下のような対策も有効である。

  • 2FA のための FIDO2 ハードウェア・セキュリティ・キーを実装する。
  • サイバー攻撃者がログイン・トークンを使用する機会を制限するために、ログイン・トークンの有効期限を短く設定する。
  • セキュリティ監視ツールを使用し、複数のログイン試行失敗や、通常とは異なる場所からのログインといった、疑わしい操作を監視する。

Adobe や Microsoft 365 を装うEメールから、QR コードで添付ファイルを開かせて、悪意のページに誘導するという、とても恐ろしいフィッシングから、BEC へと展開される攻撃とのことですので、ご注意ください。このように、なんのリクエストも行っていないのに、手元に届く QR コードは、まずは疑うべき対象ですね。よろしければ、QR Code で検索も、ご利用ください。