Menlo Labsは最近、銀行や金融サービス、保険会社、不動産管理や不動産、製造業など、さまざまな業界の上級職の幹部を狙ったフィッシングキャンペーンを発見しました。
フィッシングキャンペーンの調査に基づく主な調査結果は次のとおりです。
これは、AiTM(Adversary In The Middle)フィッシング攻撃の典型的な例です。これは、セッションクッキーを収集して脅威アクターがMFA保護をバイパスできるようにするためです。
2023年7月、メンロセキュリティ ヒートシールド 「indeed.com」Webサイトでのオープンリダイレクトを含む新しいフィッシング攻撃を検出し、ブロックしました。これにより、被害者はMicrosoftになりすましたフィッシングページにリダイレクトされます。その結果、疑いを持たない被害者は、リダイレクトが「indeed.com」などの信頼できる送信元から行われたと信じるようになります。
攻撃者は、「EvilProxy」という名前のサービスとしてのフィッシングプラットフォームを使用してフィッシングページをデプロイしていることが判明しました。このサービスは、サブスクリプションベースのサービスとしてダークウェブ上で宣伝され、販売されています。プランの有効期間は 10 日、20 日、31 日間です。「John_Malkovich」というハンドルネームで知られるアクターの 1 人が、サービスを購入した顧客を支援する管理者および仲介者の役割を果たします。
このキャンペーンは、米国に拠点を置くさまざまなセクターの組織の経営幹部やその他の主要幹部を対象としていました。
下のグラフは、キャンペーンの対象となるさまざまなセクターを示しています。
このデータは、URLScan、Phishtank、VirusTotal の各フィードを通じて収集されたインテリジェンスの助けを借りて照合されました。
感染経路は、信頼できるソース(この場合は「indeed.com」)から送信されたリンクを装って配信されたフィッシングメールでした。リンクをクリックすると、被害者は偽の Microsoft Online ログインページにリダイレクトされます。
攻撃キルチェーンの説明と段階的な内訳を以下に示します。
オープンリダイレクトは、アプリケーションが (意図的であれ意図的であれ、意図しないものであれ) 信頼できない外部ドメインへのリダイレクトを引き起こす場合に発生します。この欠陥を利用して、リダイレクト元の信頼性を悪用して、最終的に被害者をフィッシングサイトやマルウェアを提供する侵害サイトにリダイレクトする可能性があります。
この特定の攻撃では、ユーザーはindeed.comまたは他のサブドメインに誘導されていると思ってURLをクリックします。サブドメイン「t.indeed.com」には、以下の例に示すように、クライアントを別のターゲット (example.com) にリダイレクトするためのパラメーターが用意されています。URL 内の「?」の後に続くパラメーターindeed.com 固有のパラメーターと、引数が宛先 URL で構成されるターゲットパラメーターの組み合わせです。そのため、URL をクリックしたユーザーは example.com にリダイレクトされることになります。実際の攻撃では、ユーザーはフィッシングページにリダイレクトされます。
HTTP ヘッダーのリクエストとレスポンスには、脆弱性によって引き起こされたリダイレクトチェーンが表示されます。
攻撃者は、リバースプロキシとして機能するEvilProxyフィッシングキットを採用し、ユーザーセッションのCookieを盗むことで中間攻撃を仕掛け、MFAを正常にバイパスして2要素認証を回避しました。
フィッシングリダイレクションチェーンは、次の 3 つの部分で構成されています。
以下の図は、この特定の攻撃におけるリダイレクションチェーンを示しています。
フィッシングページには「lmo.」というサブドメインがあり、特に Microsoft Online のログインページになりすましていることがわかりました。フィッシングページは、リバースプロキシとして機能できる nginx サーバーでホストされていることが判明しました。リバースプロキシは、ログインページのように動的に生成できるすべてのコンテンツを取得し、被害者と正規のサイトとの間の要求と応答を傍受することで、中間の攻撃者の役割を果たします。これはセッションクッキーの収集に役立ちますが、この手法は EvilProxy フィッシングキットを使用したことが原因と考えられます。
EvilProxyの使用に起因する可能性のあるアーティファクトが観察されました。
Menloは、あるお客様を対象にこのキャンペーンを観察しました。私たちのおかげで、この脅威を無事に排除することができました。 ヒートシールド。HEAT Shieldは、リアルタイム分析機能により、このフィッシングの試みをその場で検出して防止することができました。HEAT Shield は、URL レピュテーションサービスや他のセキュリティベンダーが URL レピュテーションサービスや他のセキュリティベンダーから不正行為の報告を受ける前に、AI ベースの検出モデルを活用してレンダリングされた Web ページを分析することで、フィッシングサイトの検出に成功しました。また、Heat Shield は処理中にゼロアワーフィッシング検出アラートを生成します。これにより、SOC アナリストに脅威の背景情報と調査を十分に裏付ける充実したデータが提供されるため、SOC アナリストの可視性が高まります。
HEAT Shieldは、攻撃ベクトルを初期アクセス段階(MITRE ATT&CKフレームワーク)から切り離すことで認証情報の収集やアカウント侵害からユーザーを保護し、このような回避性の高い脅威に積極的に対処することでセキュリティの実装方法を再定義します。このように脅威環境は急速に進化しているため、当社は一歩先を行き、ゼロトラストに設計的に投資することが不可欠です。
さまざまな情報源から収集された情報や分析の結果、脅威アクターが「EvilProxy」フィッシングキットを使用し、特に「indeed.com」アプリケーションのオープンリダイレクトの脆弱性を悪用して、Microsoft Online ページになりすまして、認証情報フィッシングやアカウント侵害を行っていたことは間違いありません。
アカウント侵害は攻撃チェーンの初期段階に過ぎず、最終的にはビジネスメール侵害につながる可能性があり、潜在的な影響は個人情報の盗難、知的財産の盗難、巨額の経済的損失など多岐にわたります。
「EvilProxy」の使用が急増している可能性は高いです。まず、ダークウェブ上で簡単に利用できるチュートリアルやドキュメントを備えたシンプルなインターフェースで使いやすいです。MFA を回避できるため、サイバー犯罪者にとっては強力なツールとなっています。
Menlo Labs は Indeed.com に連絡を取り、オープンリダイレクトの脆弱性が存在し、実際に悪用されていることを伝えました。彼らはこの脅威がもたらす重要性と深刻さについて知らされています。
lmo [.] roxylvfuco [.] com [.] au
lmo [.] bartmfil [.] com
lmo [.] トリペリド [.] com
ロキシルフコ [.] com [.] au
earthscigrovp [.] com [.] au
mscr.earthscigrovp [.] com [.] au
vfuco.com [.] au
catalogsumut [.] com
ivonnesart [.] com
シェリダンウィックライブラリ [.] org
199.204.248.121
193.239.85.29
212.224.107.74
206.189.190.128
116.90.49.27
85.187.128.19
202.139.238.230
https://www.resecurity.com/blog/article/evilproxy-phishing-as-a-service-with-mfa-bypass-emerged-in-dark-web
https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-level
https://learn.microsoft.com/en-us/aspnet/ajax/cdn/overview
http://www.boredhackerblog.info/2022/11/looking-for-evilproxy-notes.html
https://www.darkreading.com/vulnerabilities-threats/evilproxy-commodifies-reverse-proxy-tactic-phishing-bypassing-2fa
https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/