エグゼクティブサマリー
Menlo Labsは最近、銀行や金融サービス、保険会社、不動産管理や不動産、製造業など、さまざまな業界の上級職の幹部を狙ったフィッシングキャンペーンを発見しました。
フィッシングキャンペーンの調査に基づく主な調査結果は次のとおりです。
- キャンペーンは7月に始まり、8月まで続きました。
- このキャンペーンでは、クライアントと正規サイト間のリクエストを傍受するリバースプロキシとして機能する「EvilProxy」と呼ばれる高度なフィッシングキットを使用しました。
- 「EvilProxy」はセッションクッキーを収集する機能を備えているため、フィッシング耐性のないMFAをバイパスできます。
- このキャンペーンは、主に米国を拠点とする組織を対象としていました。
- 攻撃者は、求人検索プラットフォーム「indeed.com」のオープンリダイレクトの脆弱性を利用して、被害者をマイクロソフトになりすました悪意のあるフィッシングページにリダイレクトしました。
これは、AiTM(Adversary In The Middle)フィッシング攻撃の典型的な例です。これは、セッションクッキーを収集して脅威アクターがMFA保護をバイパスできるようにするためです。
脅威インテリジェンス
2023年7月、メンロセキュリティ ヒートシールド 「indeed.com」Webサイトでのオープンリダイレクトを含む新しいフィッシング攻撃を検出し、ブロックしました。これにより、被害者はMicrosoftになりすましたフィッシングページにリダイレクトされます。その結果、疑いを持たない被害者は、リダイレクトが「indeed.com」などの信頼できる送信元から行われたと信じるようになります。
攻撃者は、「EvilProxy」という名前のサービスとしてのフィッシングプラットフォームを使用してフィッシングページをデプロイしていることが判明しました。このサービスは、サブスクリプションベースのサービスとしてダークウェブ上で宣伝され、販売されています。プランの有効期間は 10 日、20 日、31 日間です。「John_Malkovich」というハンドルネームで知られるアクターの 1 人が、サービスを購入した顧客を支援する管理者および仲介者の役割を果たします。
このキャンペーンは、米国に拠点を置くさまざまなセクターの組織の経営幹部やその他の主要幹部を対象としていました。
下のグラフは、キャンペーンの対象となるさまざまなセクターを示しています。
このデータは、URLScan、Phishtank、VirusTotal の各フィードを通じて収集されたインテリジェンスの助けを借りて照合されました。
感染ベクター
感染経路は、信頼できるソース(この場合は「indeed.com」)から送信されたリンクを装って配信されたフィッシングメールでした。リンクをクリックすると、被害者は偽の Microsoft Online ログインページにリダイレクトされます。
アタックキルチェーン
攻撃キルチェーンの説明と段階的な内訳を以下に示します。
- 被害者は Indeed リンクを含むフィッシングメールを受け取ります。
- 疑いを持たない被害者は、メール内の実際のリンクをクリックして、被害者を偽のMicrosoftログインページにリダイレクトします。
- このフィッシングページは、正規のログインサイトからすべてのコンテンツを動的に取得するEvilProxyフィッシングフレームワークの助けを借りてデプロイされます。
- フィッシングサイトはリバースプロキシとして機能し、リクエストを実際のウェブサイトにプロキシします。
- 攻撃者は正規のサーバーのリクエストとレスポンスを傍受します
- 攻撃者はセッションクッキーを盗むことができます。
- 盗まれた Cookie は、正規の Microsoft Online サイトへのログインに使用され、被害者になりすまして、フィッシング対策のない MFA を迂回して正規の Microsoft Online サイトにログインする可能性があります。
技術的詳細
オープンリダイレクトの脆弱性とは?
オープンリダイレクトは、アプリケーションが (意図的であれ意図的であれ、意図しないものであれ) 信頼できない外部ドメインへのリダイレクトを引き起こす場合に発生します。この欠陥を利用して、リダイレクト元の信頼性を悪用して、最終的に被害者をフィッシングサイトやマルウェアを提供する侵害サイトにリダイレクトする可能性があります。
この特定の攻撃では、ユーザーはindeed.comまたは他のサブドメインに誘導されていると思ってURLをクリックします。サブドメイン「t.indeed.com」には、以下の例に示すように、クライアントを別のターゲット (example.com) にリダイレクトするためのパラメーターが用意されています。URL 内の「?」の後に続くパラメーターindeed.com 固有のパラメーターと、引数が宛先 URL で構成されるターゲットパラメーターの組み合わせです。そのため、URL をクリックしたユーザーは example.com にリダイレクトされることになります。実際の攻撃では、ユーザーはフィッシングページにリダイレクトされます。
HTTP ヘッダーのリクエストとレスポンスには、脆弱性によって引き起こされたリダイレクトチェーンが表示されます。
攻撃者は、リバースプロキシとして機能するEvilProxyフィッシングキットを採用し、ユーザーセッションのCookieを盗むことで中間攻撃を仕掛け、MFAを正常にバイパスして2要素認証を回避しました。
攻撃者インフラストラクチャ
フィッシングリダイレクションチェーンは、次の 3 つの部分で構成されています。
- 被害者が受け取ったフィッシングリンク
- リダイレクター URL
- フィッシングページ
以下の図は、この特定の攻撃におけるリダイレクションチェーンを示しています。
フィッシングページの技術的説明
フィッシングページには「lmo.」というサブドメインがあり、特に Microsoft Online のログインページになりすましていることがわかりました。フィッシングページは、リバースプロキシとして機能できる nginx サーバーでホストされていることが判明しました。リバースプロキシは、ログインページのように動的に生成できるすべてのコンテンツを取得し、被害者と正規のサイトとの間の要求と応答を傍受することで、中間の攻撃者の役割を果たします。これはセッションクッキーの収集に役立ちますが、この手法は EvilProxy フィッシングキットを使用したことが原因と考えられます。
EvilProxy アトリビューション
EvilProxyの使用に起因する可能性のあるアーティファクトが観察されました。
- Shodanでは、これらのドメインはNginxサーバーでホストされていることがURLScanで確認できました。
- フィッシングページは、以下に示す一般的なURIパスを含むリソースをホストしていました。これらを使用して識別できます。
- 1) /セット/2.1 /コンテンツ/
- 2) /共有/1.0/コンテンツ/
- 3) /オフィスハブ/バンドル/
- フィッシングキットは、マイクロソフトのAjax CDNを利用して、JavaScriptコンテンツの動的なフェッチとレンダリングを支援します。URI パスでこれらの特定の文字列を探すと、EvilProxy URI コンテンツを検出するために構築された IDS シグネチャにその文字列が含まれていることがわかります。
- 確認されたPOSTリクエストの1つには、被害者のメールアドレス(場合によってはBase64でエンコード)とセッションIDが含まれています。これは、EvilProxy フィッシングキットの使用で見られる特有のアーティファクトでもあります。以下に示すのと同じ IDS ルールマッチです。
- POST リクエストの例:https://lmo[.]bartmfil[.]com/?c29tzw9uzubzb21lb25llm9yzw=&session=e6ec0fe49fbfbfb31608198b22eaa2D00fe6ec0fe49FBFB31608198b22eaa2D00F&SSO_RELOAD=true
- 観察されたもう1つのコードは、ブラウザーのフィンガープリンティングにオープンソースのFingerprintJSライブラリを使用したことです。Domblockers モジュールは、ブラウザーによってブロックされている特定の要素を識別するために広く使用されています。 https://github.com/fingerprintjs/fingerprintjs/blob/master/src/sources/dom_blockers.ts
- 407 プロキシ認証が必要なクライアントエラーステータスコードの IP アドレスを探します。
- 別の方法は、標準のNginxサーバー応答である444ステータスコードのサイトを探すことです。バックエンドでnginxサーバーが稼働しているサイトで、サブドメインは (lmo.、認証。、ライブ。、ログイン-ライブ。、(*)
メンロープロテクション
Menloは、あるお客様を対象にこのキャンペーンを観察しました。私たちのおかげで、この脅威を無事に排除することができました。 ヒートシールド。HEAT Shieldは、リアルタイム分析機能により、このフィッシングの試みをその場で検出して防止することができました。HEAT Shield は、URL レピュテーションサービスや他のセキュリティベンダーが URL レピュテーションサービスや他のセキュリティベンダーから不正行為の報告を受ける前に、AI ベースの検出モデルを活用してレンダリングされた Web ページを分析することで、フィッシングサイトの検出に成功しました。また、Heat Shield は処理中にゼロアワーフィッシング検出アラートを生成します。これにより、SOC アナリストに脅威の背景情報と調査を十分に裏付ける充実したデータが提供されるため、SOC アナリストの可視性が高まります。
HEAT Shieldは、攻撃ベクトルを初期アクセス段階(MITRE ATT&CKフレームワーク)から切り離すことで認証情報の収集やアカウント侵害からユーザーを保護し、このような回避性の高い脅威に積極的に対処することでセキュリティの実装方法を再定義します。このように脅威環境は急速に進化しているため、当社は一歩先を行き、ゼロトラストに設計的に投資することが不可欠です。
結論
さまざまな情報源から収集された情報や分析の結果、脅威アクターが「EvilProxy」フィッシングキットを使用し、特に「indeed.com」アプリケーションのオープンリダイレクトの脆弱性を悪用して、Microsoft Online ページになりすまして、認証情報フィッシングやアカウント侵害を行っていたことは間違いありません。
アカウント侵害は攻撃チェーンの初期段階に過ぎず、最終的にはビジネスメール侵害につながる可能性があり、潜在的な影響は個人情報の盗難、知的財産の盗難、巨額の経済的損失など多岐にわたります。
「EvilProxy」の使用が急増している可能性は高いです。まず、ダークウェブ上で簡単に利用できるチュートリアルやドキュメントを備えたシンプルなインターフェースで使いやすいです。MFA を回避できるため、サイバー犯罪者にとっては強力なツールとなっています。
推奨事項
- 啓発セッションとトレーニングを通じてユーザーを教育します。
- YubikeysのようなFIDOベースの認証のようなフィッシングに強いMFAの使用。
- ターゲットURLが安全であると想定するのではなく、ソースURLと同じくらい正当であるかどうかを確認してください。
- HEAT Shieldなどのセッション分離ソリューションを使用すると、ユーザーをゼロアワーフィッシング攻撃からリアルタイムで保護できます。
責任ある開示
Menlo Labs は Indeed.com に連絡を取り、オープンリダイレクトの脆弱性が存在し、実際に悪用されていることを伝えました。彼らはこの脅威がもたらす重要性と深刻さについて知らされています。
IOCS
ドメイン
lmo [.] roxylvfuco [.] com [.] au
lmo [.] bartmfil [.] com
lmo [.] トリペリド [.] com
ロキシルフコ [.] com [.] au
earthscigrovp [.] com [.] au
mscr.earthscigrovp [.] com [.] au
vfuco.com [.] au
catalogsumut [.] com
ivonnesart [.] com
シェリダンウィックライブラリ [.] org
IP
199.204.248.121
193.239.85.29
212.224.107.74
206.189.190.128
116.90.49.27
85.187.128.19
202.139.238.230
参考文献
https://www.resecurity.com/blog/article/evilproxy-phishing-as-a-service-with-mfa-bypass-emerged-in-dark-web
https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-level
https://learn.microsoft.com/en-us/aspnet/ajax/cdn/overview
http://www.boredhackerblog.info/2022/11/looking-for-evilproxy-notes.html
https://www.darkreading.com/vulnerabilities-threats/evilproxy-commodifies-reverse-proxy-tactic-phishing-bypassing-2fa
https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/