Proofpointの最新調査により、世界中の100以上の組織のトップレベルの経営幹部を狙った、大規模な認証情報フィッシング攻撃キャンペーンが新たに明らかになりました。このサイバーセキュリティ攻撃は、EvilProxyフィッシングキットを利用し、二要素認証を回避します。
どのアカウントが標的にされているかなど、EvilProxy の詳細を分析し、この脅威からビジネスを保護するためのヒントを提供します。
ジャンプ先:
- EvilProxy とは何ですか?
- EvilProxy攻撃チェーン
- 数千の高価値Microsoftクラウドアカウントが標的に
- メールボックスへの不正アクセスの維持
- このセキュリティ脅威から身を守る方法
EvilProxy とは何ですか?
EvilProxy は、2022 年 9 月にサイバーセキュリティ企業 Resecurity によって初めて公開されたフィッシング サービス キットです。このキットには、リバース プロキシ機能を使用してフィッシング攻撃を実行する機能があり、中間者攻撃手法を展開することで資格情報を盗み、2FA をバイパスすることができます (図 A )。
図A
サイバー犯罪者は誰でもEvilProxyを入手し、シンプルなインターフェースを介して使い始めることができます。このインターフェースでは、カスタマイズ可能なオプションを使ってフィッシングキャンペーンを作成できます。このサービスは、選択されたオプションに応じてフィッシングサイトを設定し、すぐに利用できるようになります。何も知らないユーザーがフィッシングページにアクセスすると、認証情報を入力します。すると、フィッシングページはサービスへの認証のために2FAコードを要求します。コードが提供されると、キットはすぐにそのコードを使用してセッションを開き、ユーザーのアカウントにアクセスします。
Proofpointの脅威研究者ダニエル・ブラックフォード氏は、TechRepublicに対し、EvilProxyはアンダーグラウンドフォーラムやTelegramチャンネルで販売されていると語り、「EvilProxyの基本バージョンは数百ドルだが、機能セットやターゲットユーザー数など、多くのパラメータによって価格は異なる」と付け加えた。
EvilProxy攻撃チェーン
攻撃キャンペーンは、DocuSign、Adobe、Concurといった既知の信頼できるサービスやブランドを装ったメールから始まります。メールには悪意のあるリンクが含まれており、ユーザーをYouTubeやSlickdeals(図B)といった正規のウェブサイトへのリダイレクトへと誘導することで、メールレベルでの検知を回避しようとします。
図B
一連のリダイレクトウェブサイト(図C)が予測不可能な方法で続き、発見される可能性を低くすることを目的としています。ユーザーはEvilProxyフィッシングウェブサイトに誘導されますが、このキャンペーンでは、このウェブサイトはリバースプロキシとして機能するMicrosoftログインページです。
図C
リダイレクト中に被害者の電子メール アドレスを隠し、自動スキャン ツールによる検出を回避するために、攻撃者は特別なエンコードを使用し、侵害された正当な Web サイトのみを使用して PHP コードをアップロードし、EvilProxy フィッシング ページにアクセスする前に電子メール アドレスをデコードします。
数千の高価値Microsoftクラウドアカウントが標的に
この攻撃キャンペーンでは、2023 年 3 月から 6 月の間に、ユーザーの Microsoft 365 クラウド資格情報を盗むことを目的として、世界中の何百もの標的組織に約 12 万件のフィッシング メールが送信されました。
Proofpointによると、標的ユーザーのリストには、大手企業の副社長や経営幹部といった重要人物が多数含まれています。攻撃者は、それより低い役職の従業員を無視していました。研究者らの指摘通り、攻撃者は公開情報源から入手した組織情報を用いて、標的となる人物を絞り込んだと考えるのが妥当でしょう。
侵害を受けた数百人のユーザーに関する統計によると、39%がCレベルの経営幹部であり、そのうち17%が最高財務責任者(CFO)、9%が社長および最高経営責任者(CEO)でした。侵害を受けたユーザーの32%が管理職でした(図D)。
図D
奇妙なことに、トルコのIPアドレスを持つユーザーは正規のウェブページにリダイレクトされていました。これは、脅威アクターがトルコから来ているか、トルコのユーザーアカウントを積極的に無視している可能性を示唆しています。また、多数の仮想プライベートネットワーク(VPN)IPアドレスも、EvilProxyのページではなく正規のウェブサイトにリダイレクトされていました。
この攻撃キャンペーンの目的は不明ですが、この種の攻撃は一般的に金融詐欺や機密データの窃取につながります。また、脅威アクターはこれらの高価値メールボックスへのアクセス権を他のサイバー犯罪者に販売する可能性もあります。
メールボックスへの不正アクセスの維持
侵害されたアカウントでアクティブなセッションが確立されると、脅威の攻撃者は Microsoft 365 パラメータに独自の多要素認証方法を追加し、それに Authenticator アプリを追加します (図 E )。
図E
その後、脅威の攻撃者は侵害されたアカウントにログインするために EvilProxy のリバース プロキシ機能は必要なくなり、独自の認証アプリケーションで提供された資格情報とコードを使用してログインするだけです。
このセキュリティ脅威から身を守る方法
EvilProxy の脅威から身を守るための 4 つのヒントを紹介します。
- 電子メール セキュリティ ソリューションを使用して、従業員に送信される悪意のある電子メールをブロックします。
- このようなフィッシング攻撃を検出できるように従業員をトレーニングします。
- フィッシング、マルウェア、その他の脅威を検出するためのネットワーク セキュリティ ソリューションを導入します。
- フィッシング攻撃のシミュレーションを実行して、IT 部門が従業員の意識を高めるのを支援します。
また、可能であれば FIDO2 ベースの物理キーを使用することをお勧めします。これは、この種のハードウェアには、ユーザーのデバイスとオンライン サービス間のすべての通信を攻撃者が傍受したとしても通常はアクセスできない秘密キーが安全に保存されるためです。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
