KnowBe4 Threat Labパブリケーション
著者:Jeewan Singh Jalal、 Anand Bodke、Martin Kraemer
要約
KnowBe4 Threat Labは、Microsoftの認証情報を収集することを目的とする複数の組織を標的とした巧妙なフィッシングキャンペーンを分析しました。
このキャンペーンは2024年10月2日から3日にかけて実施され、高度化する脅威に対抗するためのサイバーセキュリティ文化の継続的な醸成の必要性を浮き彫りしました。
脅威アクターは、確立されたレピュテーションの信用を得る、セキュアEメールゲートウェイを潜り抜ける、そして、正規サービスは検出対象外となるため検出から逃れるために、正規のビジネスドメインを侵害します。今回のキャンペーンでは、攻撃者は、正規のビジネスインフラを侵害し、完全にユーザーに到達するようにSPF、DKIM、DMARCが設定されたメール配信サービスを悪用しました。攻撃者は、使用されていないCNAMEエントリーを悪用してサブドメインを作成し、DNS管理コンソールを侵害しました。
攻撃者は、様々な戦術とテクニックを駆使してユーザーをフィッシングのランディングページにリダイレクトさせました。メールセキュリティソリューションを回避し、標的に対するソーシャルエンジニアリングを成功させる可能性を高めるために、様々な戦術が用いられています。 フィッシングのランディングページは、添付ファイル内のQRコード、隠しJavaScript、HTMLリダイレクト付きの添付ファイルや正規のURLのオープンリダイレクトを利用してリンクされていました。
攻撃者は、メールセキュリティソリューションを回避し、従業員の受信トレイに到達する新しい戦術、テクニック、プロセスを次々と開発しています。セキュリティ対策を強化している組織では、オープンソース・インテリジェンス、マシン・インテリジェンスに加えて、ヒューマン・インテリジェンス活用して、メールゲートウェイのセキュリティを向上させています。さらに、サイバー攻撃に強い組織では、エンドユーザーに対してソーシャルエンジニアリング攻撃に対抗するためのトレーニングも行っています。このトレーニングを通して、攻撃の予兆となるレッドフラグを見つけ、感情的知性と批判的思考力を鍛えることを実施しています。
関連データ
このキャンペーンは、2024年10月2日から3日にかけて実行されました。このキャンペーンに起因すると報告された170件を超えるメールの大半は、主に米国(90%)に実在する金融機関や医療分野の組織から送信されたものでした。
フィッシングのランディングページにリダイレクトするHTML添付ファイルペイロードが最も多く見られました(27件)。その他のペイロードには、QRコードを含むPDFファイル(4件)と、正規のURLの悪用(4件)が含まれていました。メール本文に隠されたJavaScriptを含んだメールや、MS Teamsの通知を模倣したメールも含まれていましたが、その広がりについてはさらなる調査が必要です。
技術的な詳細
このキャンペーンでは、正規のビジネスアドレスと正規のサービスからフィッシングメールが配信され、最終的にMicrosoftの認証情報が詐取されます(図1)。
図1 Microsoftを騙るフィッシングランディングページのスクリーンショット
このキャンペーンの主な特徴
キャンペーンは2024年10月2日、UTC(世界協定時刻)午後11時30分頃に開始されました。これらのメールは、次のように、様々な組織に送信されました。
戦術
脅威アクターは、次のような理由で、正規のビジネスドメインを攻撃することを好みます。
良く使われる戦術:
このキャンペーンでは、攻撃者がDNS管理コンソールを侵害し、サブドメインとTXTレコードを作成し、悪意のある目的でMailgunメールサービスを使用できるようにしていることが確認されました。
図2:サブドメインを作成して、Mailgunメール送信サービス用に構成設定
また、適切に構成された電子メール配信サービスである Mailgun では、有効な SPF、DKIM、および DMARC が使用されていたため、これらの認証に依存するセキュリティ ポリシーがバイパスされることが確認されました。
デリバリーメカニズム
このキャンペーンでは、脅威アクターがより高いクリック率を達成するために、以下のような様々な配信メカニズムを展開していることが確認されています。
1.HTML添付ファイルを開くと、フィッシングページにリダイレクトされます
図3:空白のメール本文とリダイレクトリンクを埋め込んだ悪質なHTML添付ファイルを含むテンプレート
2.PDFの添付ファイルには、QRコードが含まれており、スキャンされるとフィッシングページにリダイレクトされます。
図4:フィッシングページへのオープンリダイレクトを利用したQRコードを含むPDF添付ファイル
3.メール本文には、HTMLビューアで開くとフィッシングページにリダイレクトするJavaScriptコードが隠されています。
図5:フィッシングランディングページにリダイレクトする非表示JavaScriptコード
4.正規のURLを悪用して、フィッシングページへオープンリダイレクトが行われます。
図6:正規のURLをフィッシングランディングページへオープンリダイレクト
5.フィッシングページへのリンクを含む偽のMicrosoftの通知。
図7:偽のMS通知
KnowBe4の推奨事項
KnowBe4 Threat Labについて
KnowBe4 Threat Labは、専門家の分析とクラウドソーシングによるインテリジェンスを組み合わせることで、メールの脅威とフィッシング攻撃の最新の状況を調査分析し、その緩和策を提供することを目的としています。経験豊富なサイバーセキュリティの専門家チームは、最新のフィッシングのテクニックを調査し、これらの脅威に先手を打って対抗するための戦略を開発しています。グローバルなKnowBe4カスタマーコミュニティからのインサイトを活用することで、包括的な推奨事項とタイムリーなアップデートを提供し、高度化するメールベースの攻撃から組織を保護し、対応できるようにします。KnowBe4 Threat Labは、KnowBe4のイノベーションと専門知識へのコミットメントであり、進化し続けるサイバー脅威への強固な防御を提供していきます。
原典:Martin Kraemer著 2025年1月28日発信 https://blog.knowbe4.com/using-genuine-business-domains-and-legitimate-services-to-harvest-credentials