ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
すべては、Menlo Labsの同僚が、ユーザー名とパスワードが記載されたオープンディレクトリに出くわしたときに始まりました。Web サーバーのコンテンツを見てみると、これは 1 つのキャンペーンの結果であることがわかりました。このキャンペーンはかなり成功し、さまざまな企業の 164 人のユーザーの認証情報が漏洩する可能性がありました。この記事で概説されている脅威活動は、 高回避型適応型脅威 (HEAT)これにより、現在の従来のセキュリティ対策を簡単に回避できます。
このキットを分析する過程で、「DH4 VIP3R L337」というユニークなストリングに出くわしました。このことから、この特定のキットとアクターについてさらに理解を深めるための探求が始まりました。
私たちが答えようとした質問は次のとおりです。
攻撃者の手口は、潜在的な被害者に電子メールでHTML添付ファイルを送信することです。ほとんどのセキュア・メール・ゲートウェイ (SEG) は特定のファイルタイプに対してデフォルト・ブロックを設定していますが、HTML 添付ファイルはこのレベルの防御から除外されています。これは、多くの大手金融会社が暗号化された電子メールを送信しているため、メッセージを安全に表示するには、まずユーザーを登録してアカウントを作成する必要があるためです。これらの暗号化された電子メールは通常、HTML 形式の添付ファイル形式で送信されます。
次のスクリーンショット (図1) は、悪意のある HTML 添付ファイルを開いたときにユーザーに表示される内容の例です。
私たちの調査によると、攻撃者はターゲット企業が使用するサービスに基づいてルアーを慎重に選択してカスタマイズしているようです。合計で、攻撃者が使用した147種類のユニークなルアーが特定されました。その誘惑は、サイバーセキュリティ企業から金融サービス、そしてその中間のあらゆる企業まで多岐にわたりました。
送信されたユーザー認証情報は、ajax XHRリクエストを使用して攻撃者のCnCに送信されます。に感謝します。 サイバーセック、 誰がサーバーサイドコードを送ってくれたかによって、攻撃チェーン全体を再構築し、キャンペーンの機能を詳しく説明することができました。攻撃者は、被害者が送信した認証情報を検証する独自の方法を採用しています。
攻撃の流れは次のとおりです。
最初の HTML 添付ファイルは、これらの HTML ペイロードを自動的に生成するキットを使用して作成されると考えています。Menlo Labs の研究者はかなりの時間をかけてキットを探しましたが、結局見つけることができませんでした。このようなキットを知っている研究者がいたら、これらのペイロード生成キットがどのように機能するのかを理解するために、ぜひ協力していきたいと思います。ただし、詳細が明らかになるまでは、このペイロード生成キットを VIP3R_L33T Generator として追跡しています。
認証情報が送信されたドメインのほとんどは、NameCheap ドメイン登録サービスを使用して登録されました。このサービスは安価でドメイン登録者にとっては非公開であり、実質的に誰がドメインを登録したかの詳細を隠してしまいます。
攻撃者が使用したモニカは次のとおりです。
クレデンシャルフィッシングは、今もなお多くのお客様に見られる最大の攻撃です。私たちは、地域や業種を問わず、すべてのお客様がこの攻撃の影響を受けているのを目の当たりにしてきました。おおよそ 22 パーセント プラットフォーム全体で見られる攻撃のうち、クレデンシャルフィッシング攻撃は 7 パーセント これらの攻撃のうち、従来のURLレピュテーションエンジンでは検出されませんでした。Menlo Labs のリサーチチームが「LURE」と名付けたこれらの従来の URL レピュテーション回避手法は、次の 4 つの回避手法の 1 つです。 高回避型適応型脅威 (HEAT)。Menlo Labs のチームは、HEAT 攻撃が大幅に増加していることを確認しました。HEAT 攻撃は、私たちに内在する認知バイアスを利用して、私たちを騙して認証情報を入力させます。このバイアスと攻撃者が用いる戦術が相まって、これらの攻撃は非常に成功しています。トレーニングや教育の取り組みを通じてサイバーセキュリティに対する意識を高めることは、多くの場合、認証情報フィッシング攻撃の影響を減らすのに役立ちますが、企業ユーザーは、サイトが個人情報や機密情報を要求するフォームを表示する場合には常に注意する必要があります。
