Nyc clouds

EvilProxyを用いたクラウドアカウントを乗っ取る攻撃キャンペーンが100以上のグローバル組織の経営陣を狙う

Share with your network!

主なポイント

  • プルーフポイントのリサーチャーによると、過去6ヶ月の間に、大手企業の上級管理職のクラウドアカウントの乗っ取りに成功したインシデントが100%以上劇的に急増しました。
  • 全世界で100以上の組織が標的となり、合わせて150万人の従業員が被害に遭いました。
  • 攻撃者は、リバースプロキシアーキテクチャに基づくフィッシングツールであるEvilProxyを利用し、MFAで保護された認証情報とセッションクッキーを盗み出しました。
  • 多要素認証の導入が進む中、これをかいくぐるための巧妙なAdversary-in-the-Middleフィッシングと高度なアカウント乗っ取り手法を組み合わせた脅威が急増しています。

多要素認証(MFA)の利用は、ここ数年、組織で増加しています。しかし残念ながら、MFAを導入しているテナントでのアカウント侵害が増加しています。プルーフポイントのデータによると、過去1年間に侵害されたユーザーのうち、少なくとも35%がMFAを有効にしていました。

攻撃者はアカウントを侵害する方法を進化させており、プルーフポイントが注視している手法は特に効果的でした。攻撃者は、高度な自動化の仕組みを新しく取り入れ、フィッシングに引っ掛かったユーザーが高い役職の人物であるかをリアルタイムで正確に判断し、すぐにアカウントへのアクセスを取得します。

目次:

  • EvilProxyについて
  • 調査結果
  • 結論
  • 推奨策

EvilProxyについて:悪と化したリバースプロキシ 

以前発表したブログでは、MFA の採用が進むにつれて、この一般的になったセキュリティ・レイヤーをバイパスするように設計されたフィッシング・キットやツールがどのように普及したかを探りました。本ブログでは、脅威がますますEvilProxyなどのAdversary-in-the-Middle (AitM)フィッシング・キットを使用し、認証情報とセッション・クッキーをリアルタイムで盗むようになっていることを報告します(図1)。プルーフポイントがこのブログを執筆している時点では、MFAバイパス・キットを用いた脅威は大きく拡大しています。

EvilProxy解説図

図 1. AitM 透過型リバース プロキシ 

攻撃者はオープンソースキットの需要の市場機会を捉え、MFA フィッシング アズ ア サービス (Phishing as a Service: PhaaS)を開発しました。これによって、技術力がない攻撃者でも、さまざまなオンラインサービス(Gmail、Microsoft、Dropbox、Facebook、Twitterなど)用に事前に設定されたキットを購入し、使用することができるようになりました。

現在、攻撃者が必要とするのは、ボット検知、プロキシ検知、ジオフェンシングなどのカスタマイズ可能なオプションを備えたクリックだけで使うことができる簡単なインターフェースを使用して攻撃キャンペーンをセットアップすることだけです。この比較的シンプルで低コストのインターフェイスによって、MFAフィッシングの成功の門が開かれました。このようなインターフェースとツールキットの1つがEvilProxyで、入手、設定、セットアップが簡単におこなうことができる包括的フィッシング・キットとなっています。 

フィッシングツールとしてのEvilProxyの有効性は広く認識されていますが、プルーフポイントの脅威アナリストは、そのリスクと潜在的な影響に関する一般的な認識のギャップを指摘しています。他にも複数のプロキシやフィッシングキットが存在しますが、このブログでは、ビジネスメール侵害(BEC)やアカウント乗っ取り(Account Take Over: ATO)のインシデントを引き起こしたEvilProxy攻撃手法とその結果について検証します。

調査結果:プルーフポイントによるEvilProxyを用いた攻撃の観測 

3月上旬以来、プルーフポイントのリサーチャーは、EvilProxyを使用して数千のMicrosoft 365ユーザーアカウントを標的とした進行中のハイブリッド型攻撃キャンペーンを監視してきました。このキャンペーンの全体的な広がりは目を見張るものがあり、2023年3月から6月にかけて、世界中の数百の標的組織に約12万通のフィッシングメールが送信されています。

攻撃のフィッシング ステージにおいて、攻撃者が使った注目すべきテクニックは以下の通りです:

  • ブランドへのなりすまし:送信者アドレスを、Concur Solutions、DocuSign、Adobeなどの信頼できるサービスやアプリになりすましました。
  • スキャンブロック:攻撃者はサイバーセキュリティのスキャンボットに対する防御を利用し、セキュリティソリューションが悪意のあるWebページを分析することを困難にしていました。
  • 多段階感染チェーン:攻撃者は、YouTubeなどの正規のリダイレクタを経由してトラフィックをリダイレクトし、悪意のあるCookieや404リダイレクトなどの追加ステップを実行しました。

フェーズ1 - EvilProxyの動作

フェーズ1:EvilProxyの動作

図2. 攻撃のリダイレクト・チェーン

当初、攻撃者は、ビジネス経費管理システムのConcur、DocuSign、Adobeなど、信頼できるサービスになりすましていました(図5および6)。攻撃者は、なりすました電子メール・アドレスを使用して、悪意のあるMicrosoft 365フィッシング サイトへのリンクを含むフィッシング・メールを送信しました。  

DocuSign、Adobe Sign、Concurを装った電子メールには、以下の通り、多段階の感染チェーンを開始する悪意のあるURLが含まれていました。

  • まず、ユーザーのトラフィックは、オープンな正規のリダイレクタ(youtube[.]com、bs.serving-sys[.]comなど)を経由してリダイレクトされます。
  • 次に、ユーザートラフィックは、悪意のあるクッキーや404リダイレクトを含む、さらにいくつかのリダイレクトステップを経る可能性があります。トラフィックを方々に散らばせることによって、予測不能にすることで、検知される可能性を下げるために行われます(参照:図2)。
  • 最後に、ユーザーのトラフィックはEvilProxyフィッシング・フレームワークに誘導されます。このランディング ページはリバースプロキシとして機能し、受信者のブランディングを模倣し、サードパーティのIDプロバイダを取り扱います。必要であれば、これらのページには被害者に代わって実際に認証を成功させるためにMFAクレデンシャルを要求することがあります。

この攻撃フローで悪用されているドメインの1つであるbs.serving-sys[.]comは、ユーザーをさまざまな望ましくないWebページにリダイレクトすることで知られているドメインです。攻撃の最初の波では、攻撃者はこのドメインを利用してトラフィックを悪意のあるWebサイトに誘導します。 

次の波では、セキュリティソリューションによる検出を防ぎ、ユーザーにリンクをクリックさせるために、攻撃者は評判の良いウェブサイト(YouTube、SlickDealsなど)にリダイレクト・リンクを貼り付けます。

以下は、YouTubeをリダイレクト・ドメインとする悪質なURLパターンの例です:

https://www.youtube[.]com/attribution_link?c=10570810&u=http://dseapps.web[.]app/pi2Pss****3RWO3BM2?id=com.google.android.apps.youtube.music 

いくつかのリダイレクトページを分析した際、プルーフポイントのリサーチャーは、攻撃の最初の日に現れ、他の攻撃とは異なる小さいながらも重要な特徴を見つけました。

それは、リダイレクト文字列の些細なタイプミスでした。ユーザーを「https」のページに転送する代わりに、攻撃者は誤って「hhttps」のアドレスを指してしまったのです(図3)。このため、リダイレクトフローは失敗しました。

Figure 3

図 3. 攻撃者のタイプミス("https "ではなく、"hhttps")により、リダイレクトフローが失敗している

自動スキャンツールからユーザーの電子メールを隠すため、攻撃者はユーザーの電子メールを特殊文字にエンコーディングし、ハッキングされた正規のウェブサイトを利用して、特定のユーザーの電子メールアドレスをデコードするためのPHPコードをアップロードしました。

電子メールアドレスをデコードした後、ユーザーは最終的なウェブサイト、つまりターゲットの組織のためだけに作られた実際のフィッシング・ページに転送されました。

このエンコーディングにはいくつかのバリエーションがあり、攻撃の波ごとに変化していきましたが、デコードの基本コンセプトはどれも同じでした。

  • メールアドレスは小文字のみで表記
  • 数字または大文字は、別の数字または文字と対になってデコードされる
  • 攻撃者は、観測されたすべてのリンクで以下の解読パターンを利用 

電子メールでエンコードされたパターン

デコードされた文字列

x0q / a51

@

dy9 / d07 / d0T

.

2P

blank

Figure 4

図4. リダイレクトURLからターゲットユーザーのEメールを解読した例

私たちが観測したもう1つの不思議な要素は、特定の地域から悪意のあるフィッシング Webページにアクセスした際に、攻撃の流れが明らかに変化することです。具体的には、トルコのIPアドレスから発信されたユーザートラフィックは、攻撃者のコントロールの及ばない正当なウェブページに誘導されました。この変化は、プロキシ サービスが「セーフ リスティング」の一種を用いていることで説明できるかもしれませんが、この動作はトルコから発信されたトラフィックにのみ見られました。この流れが本当に意図的なものであるとすれば、このキャンペーンの背後にいる攻撃者はトルコに拠点を置いているように考えられ、あるいはトルコのユーザーを標的にすることを意図的に避けていたことを示唆している可能性があります。また、世界中の数多くのVPNが悪質なフィッシング Webサイトへのアクセスをブロックしていることも特筆に値します。

Firefox search

図5. GIFは、攻撃者がトルコのIPアドレスからのトラフィックを本物のDocuSignのウェブサイトにリダイレクトする方法を示している

Figure 6

図 6. 広範な悪意あるキャンペーンの一環として、攻撃者がブランドになりすまして(「SAP Concur」を装って)標的ユーザーに送信したフィッシング脅威の例

Figure 7

図7. 広範な悪意のあるキャンペーンの一環として、攻撃者がブランドのなりすまし(「DocuSign」を装う)を利用して標的ユーザーに送信したフィッシング脅威の例
 

フェーズ2 – アカウント侵害

プルーフポイントの調査によると、標的となったユーザーのリストには、大手企業のCクラスの幹部や副社長など、狙う価値の高いターゲットが多数含まれていました。これらの役職者は、機密データや金融資産にアクセスできる可能性があるため、攻撃者に特に重宝されています。標的とされたユーザーが認証情報を提供すると、攻撃者は数秒以内にMicrosoft 365アカウントにログインすることができ、これは合理化および自動化されたプロセスであることを示しています。

最初のフィッシングの誘い文句に引っかかって認証情報を送信したすべてのユーザーが、悪質な行為者によってアクセスされたわけではありません。私たちが観察した他の悪質なキャンペーンとは対照的に、このケースでは、攻撃者は明らかに「VIP」のみにターゲットの優先順位をつけ、自分たちにとって価値の低いターゲットは無視していました。このパターンは、他の情報源から入手した被害者の組織情報(おそらく一般に公開されている情報)を利用するプロセスの兆候である可能性があります。

侵害された数百人のユーザーのうち、約39%がCレベルのエグゼクティブで、そのうち17%が最高財務責任者(CFO)、9%が社長や最高経営責任者(CEO)でした。攻撃者はまた、より低いレベルであっても、金融資産や機密情報にアクセスできる担当者に焦点を当てています。

Figure 8

図8. 侵害されたユーザーの役割

フェーズ3 - 侵害後のアカウントの悪用 

攻撃者はいったん被害者のアカウントにアクセスすると、影響を受けた組織のクラウド環境内で足場を固めていきました。複数の状況において、攻撃者は、Microsoft 365 のネイティブアプリケーショ ンを利用して MFA 操作を実行しました。「My Sign-Ins(自分のサインイン)」(図9)を利用することで、攻撃者は独自の多要素認証方法を追加し、侵害されたユーザーアカウントへの永続的なアクセスを確立することができました。攻撃者が好んで使用した認証方法は、「Authenticator App with Notification and Code」(図 10)でした。

My-Sign-in

図9. 攻撃者がMFA操作を実行するために利用したマイクロソフトのMy Sign-in(自分のサインイン)アプリケーション

Figure 10

図 10. 侵害後に追加された攻撃者が制御する MFA メソッド(通知とコード付きの Authenticator アプリ)

結論

攻撃者は、ユーザーの認証情報を盗み出し、貴重なユーザーアカウントへのアクセスを獲得する新しい方法を常に模索しています。彼らの手法やテクニックは、多要素認証のような新しいセキュリティ製品や手法に常に適応しています。このブログが示すように、MFAですら高度な脅威に対する特効薬ではなく、さまざまな形態の電子メールとクラウドを組み合わせた攻撃によってバイパスされる可能性があります。

リバースプロキシの脅威(特にEvilProxy)は、今日のダイナミックなサイバー情勢における強力な脅威であり、過去の性能の低いフィッシュキットとはまったく異なります。その人気は著しく上昇し、組織の防御戦略において決定的なギャップを露呈しています。そのため、攻撃者はすぐに使うことができる高度なフィッシングキットを活用するよう移行しており、ハイブリッド攻撃の有効性と速度の上昇につながっています。 

これらの攻撃の最初の侵入経路は電子メールですが、最終的な目標は、貴重なクラウドユーザーのアカウント、資産、およびデータを侵害し、悪用することです。「VIP」ユーザーのアカウントにアクセスすると、攻撃者はまず、足場を確立し、永続性を確立することで、自分たちの利益を確保しようとします。そして、そのアクセスを悪用しようとします(図9)。

こうした攻撃の最後の段階で、サイバー犯罪者はラテラルムーブメントやマルウェアの拡散など、さまざまなテクニックを駆使します。攻撃者は、攻撃を準備し、成功率を向上させるために、標的組織の文化、組織階層、プロセスを研究することが知られています。

攻撃者は、不正アクセスを収益化するために、金銭詐欺、情報窃取、HaaS(Hacking-as-a-Service)トランザクションを実行し、侵害されたユーザーアカウントへのアクセスを販売しています。

EvilProxyのアタックフェーズ

図11. EvilProxyのアタックフェーズ

推奨策 

以下は、高度なハイブリッド(電子メールとクラウド)の脅威から組織を守るための方法です。

  • メールセキュリティ: ユーザーを狙う悪意のある電子メールの脅威をブロックし、監視します。効果的なBEC防止ソリューションにより、攻撃対象領域を大幅に縮小できます。
  • クラウドセキュリティ:クラウド環境内の アカウント侵害(ATO)と機密リソースへの不正アクセスを特定します。
    • これらのソリューションは、悪用されたサービスやアプリケーションの可視化を含め、最初のアカウント侵害と侵害後の活動の両方を正確かつタイムリーに検出する必要があります。 
    • 自動修復機能を採用し、攻撃者の滞留時間を短縮し、と潜在的な損害を低減します。
  • Webセキュリティ: 電子メールに埋め込まれたリンクから開始された悪意のあるセッションを隔離環境で実行します。
  • セキュリティ意識の向上: Microsoft 365 を使用する際に、これらのリスクを認識するようユーザーを教育します。
  • FIDO:FIDOベースの物理セキュリティキーの採用を検討します。

プルーフポイントでは、クラウドアプリを保護し、Microsoft 365 クラウド環境をセキュアにするための無料のアセスメントをご用意しています。

IOC(侵害の痕跡:Indicators of Compromise)

Indicator

Type

Description

01-net[.]com

Domain

Malicious “Step 2” redirection domain

837[.]best

Domain

Malicious “Step 2” redirection domain

abbotsfordbc[.]com

Domain

Malicious “Step 2” redirection domain

ae-lrmed[.]com

Domain

Malicious “Step 2” redirection domain

andrealynnsanders[.]com

Domain

Malicious “Step 2” redirection domain

bdowh[.]com

Domain

Malicious “Step 2” redirection domain

cad-3[.]com

Domain

Malicious “Step 2” redirection domain

cdjcfc[.]com

Domain

Malicious “Step 2” redirection domain

chiromaflo[.]com

Domain

Malicious “Step 2” redirection domain

cmzo-eu[.]cz

Domain

Malicious “Step 2” redirection domain

concur[.]bond

Domain

Malicious “Step 2” redirection domain

concurcloud[.]us

Domain

Malicious “Step 2” redirection domain

concursolution[.]us

Domain

Malicious “Step 2” redirection domain

concursolutions[.]info

Domain

Malicious “Step 2” redirection domain

cualn[.]com

Domain

Malicious “Step 2” redirection domain

d8z[.]net

Domain

Malicious “Step 2” redirection domain

dealemd[.]com

Domain

Malicious “Step 2” redirection domain

dl2b[.]com

Domain

Malicious “Step 2” redirection domain

dsa-erie[.]com

Domain

Malicious “Step 2” redirection domain

dse[.]best

Domain

Malicious “Step 2” redirection domain

dse[.]buzz

Domain

Malicious “Step 2” redirection domain

dsena[.]net

Domain

Malicious “Step 2” redirection domain

e-csg[.]com

Domain

Malicious “Step 2” redirection domain

etrax[.]eu

Domain

Malicious “Step 2” redirection domain

farmacgroup[.]ca

Domain

Malicious “Step 2” redirection domain

faxphoto[.]com

Domain

Malicious “Step 2” redirection domain

fdh[.]aero

Domain

Malicious “Step 2” redirection domain

finsw[.]com

Domain

Malicious “Step 2” redirection domain

fortnelsonbc[.]com

Domain

Malicious “Step 2” redirection domain

g3u[.]eu

Domain

Malicious “Step 2” redirection domain

greatbayservices[.]com

Domain

Malicious “Step 2” redirection domain

gwcea[.]com

Domain

Malicious “Step 2” redirection domain

indevsys[.]com

Domain

Malicious “Step 2” redirection domain

inteproinc[.]com

Domain

Malicious “Step 2” redirection domain

jxh[.]us

Domain

Malicious “Step 2” redirection domain

k4a[.]eu

Domain

Malicious “Step 2” redirection domain

kayakingbc[.]com

Domain

Malicious “Step 2” redirection domain

kirklandellis[.]net

Domain

Malicious “Step 2” redirection domain

kofisch[.]com

Domain

Malicious “Step 2” redirection domain

ld3[.]eu

Domain

Malicious “Step 2” redirection domain

mde45[.]com

Domain

Malicious “Step 2” redirection domain

mjdac[.]com

Domain

Malicious “Step 2” redirection domain

n4q[.]net

Domain

Malicious “Step 2” redirection domain

na-7[.]com

Domain

Malicious “Step 2” redirection domain

na3[.]wiki

Domain

Malicious “Step 2” redirection domain

nilyn[.]us

Domain

Malicious “Step 2” redirection domain

p1q[.]eu

Domain

Malicious “Step 2” redirection domain

pagetome[.]com

Domain

Malicious “Step 2” redirection domain

parsfn[.]com

Domain

Malicious “Step 2” redirection domain

pbcinvestment[.]com

Domain

Malicious “Step 2” redirection domain

phillipsoc[.]com

Domain

Malicious “Step 2” redirection domain

pwsarch[.]com

Domain

Malicious “Step 2” redirection domain

re5[.]eu

Domain

Malicious “Step 2” redirection domain

sloanecarpet[.]com

Domain

Malicious “Step 2” redirection domain

ssidaignostica[.]com

Domain

Malicious “Step 2” redirection domain

tallwind[.]com[.]tr

Domain

Malicious “Step 2” redirection domain

ukbarrister[.]com

Domain

Malicious “Step 2” redirection domain

utnets[.]com

Domain

Malicious “Step 2” redirection domain

uv-pm[.]com

Domain

Malicious “Step 2” redirection domain

vleonard[.]com

Domain

Malicious “Step 2” redirection domain

wattsmed[.]com

Domain

Malicious “Step 2” redirection domain

whoyiz[.]com

Domain

Malicious “Step 2” redirection domain

wj-asys[.]com

Domain

Malicious “Step 2” redirection domain

wmbr[.]us

Domain

Malicious “Step 2” redirection domain

wwgstaff[.]com

Domain

Malicious “Step 2” redirection domain

xp1[.]us

Domain

Malicious “Step 2” redirection domain

xstpl[.]com

Domain

Malicious “Step 2” redirection domain

154.29.75.192

IP Address

Source IP address involved in EvilProxy Attack

185.241.52.78

IP Address

Source IP address involved in EvilProxy Attack

185.250.243.176

IP Address

Source IP address involved in EvilProxy Attack

185.250.243.38

IP Address

Source IP address involved in EvilProxy Attack

198.44.132.249

IP Address

Source IP address involved in EvilProxy Attack

212.224.107.12

IP Address

Source IP address involved in EvilProxy Attack

45.8.191.151

IP Address

Source IP address involved in EvilProxy Attack

45.8.191.17

IP Address

Source IP address involved in EvilProxy Attack

74.208.49.213

IP Address

Source IP address involved in EvilProxy Attack

77.91.84.52

IP Address

Source IP address involved in EvilProxy Attack

78.153.130.178

IP Address

Source IP address involved in EvilProxy Attack

87.120.37.47

IP Address

Source IP address involved in EvilProxy Attack

104.183.206.97

IP Address

Source IP address involved in EvilProxy Attack

172.102.23.21

IP Address

Source IP address involved in EvilProxy Attack

191.96.227.102

IP Address

Source IP address involved in EvilProxy Attack

90.92.138.71

IP Address

Source IP address involved in EvilProxy Attack

autonotification@concursolutions[.]com

Email address

Sender address involved in EvilProxy campaigns

dse@eumail.docusign[.]net

Email address

Sender address involved in EvilProxy campaigns

adobesign@adobesign[.]com

Email address

Sender address involved in EvilProxy campaigns

 

●あわせて読みたい