Browser in the Browser（BitB）攻撃の詳細

はじめに

Menlo Labsの研究チームは最近、Browser in the Browser（BitB）攻撃を使用することで知られる悪意のあるドメインの分析を行いました。ユーザーがサイトにアクセスし、サードパーティ（GoogleやFacebookなど）を経由したサインインを要求されたときに、BitB攻撃が開始されます。ユーザーがリンクをクリックすると、HTMLとCSSを使って完全に構築されたポップアップが表示されます。ポップアップに表示されるURLは正規のサイトのように見えますが、その下にあるiframeはフィッシングサイトを指し示しています。これらの攻撃は、HEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）テクニックを利用して検知を回避しています。

感染ベクトル

gateway[.]pinata[.]cloudというドメインを分析したところ、複数のフィッシングサイトに関連していることがわかりました。サイトが異なるだけでなく、参照リンクも異なっていました。一般的なメールのログインページから偽のCDCランディングページまで、このドメインはフィッシングサイトの宝庫でした。今回は、そのうちのいくつかをご紹介します。

最初に調べたのは、以下のURLです。

gateway.pinata[.]cloud/ipfs/QmUaW8pYp41riYfRCiYLWGi1omwKV5erkYLzE469jZdk7b

VirusTotal（VT）によると、これはマルウェアに関連しており、そのマルウェアはAPT10に関連しているとラベル付けされています。このURLでサイトにアクセスすると、一般的なメールログインページが表示されます。

[アナリストのコメント：VTではこの特定のURIをAPT10マルウェアと関連付けていますが、分析時点ではこの関連性を確認することができませんでした。]

同じURLにアクセスし、最後に #[email protected] を追加すると、CDCのログインページが表示されます。

私たちはまた、参照しているURLの中にメールが含まれているものがあることにも気づきました。例えば https[://]thulth[.]com/public/css//#[victimname]@henkel.com は、https[://]gateway.pinata[.]cloud/ipfs/Qmdxg94XWxwtZEF7RM712RZL7w4efBEYNHNMujNiFRyHg/ で終わっています。これはマイクロソフトのターゲットページでした。

その他の興味深い参照URLには、Ciscoのようなサイトにリンクしているものがあります。Cisco WebexのWebサイトからのこのオープンリダイレクトについては、Binary Defenseのブログでも解説されています。このブログによると、「オープンリダイレクトとは、Webサイトが任意のURLをパラメータの1つとして受け付け、その指定されたURLにブラウザーを転送する機能を悪用し、リンクの本当の目的地を偽装するために使われる手法。」ということです。今回のケースでは、リダイレクト先が別のマイクロソフトのターゲットページになっているわけです。

私たちは、https[://]thulth[.]com と http[://]go.eu.sparkpostmail1[.]com から繰り返し参照されるURLも確認しました。どちらもマイクロソフトをターゲットにしていました。

被害者が認証情報を入力すると、JavaScriptを介して https[://]ortadogulular[.]com/support/shieldsshots.php に投稿します。これはHighly Evasive Adaptive Threat（HEAT）と呼ばれるサイバー脅威の一種で、Webブラウザーを攻撃手法として活用し、セキュリティスタックの複数レイヤーでの検知を回避するために、今回のようなさまざまなテクニックを採用していると考えられています。

このドメインのほとんどのサイトが、これらのテクニックを採用していることがわかりました。このBitB攻撃は、Javaを利用して被害者の認証情報を投稿します。このコードを分析したとこと、このテクニックを使うサイトをホストしているドメインをさらに特定することができました。

コード分析から見つかったドメイン（554325.selcdn[.]ru）はフィッシングメールにリンクしており、このメールの件名には被害者の名前の共有フォルダであると書かれています。メッセージの本文は、内部アクセスフォルダのリンクをクリックするよう被害者を誘導しており、そのリンクは同じJavaScriptコードを使用して認証情報を流出させるBitBフィッシングサイトに被害者を誘導します。

私たちのオリジナルドメインである gateway.pinata[.]cloud でも、ログインして共有ドキュメントを閲覧するよう求めるフィッシング攻撃が行われていましたが、このフィッシングサイトはログインしてExcelドキュメントを閲覧するよう求めているように見えます。

また、分析しているあいだに、まだ作成中と思われるBitBサイトも発見しました：https[://]ramiche639.github[.]io/TESTGG は、空のランディングページに誘導した後 https[://]imaginaryonesmint[.]xyz にリダイレクトします。このページには、Googleのログインページと思われるBitBウィンドウがロードされます。しかし、分析時には正常に動作しておらず、フィッシングページを完全に読み込むことはできませんでした。

結論

攻撃者は、被害者を騙して認証情報を提供させる新たな方法を模索し続けているため、BitB攻撃は今後も増加し続けるものと思われます。SSOを使用する際には、多要素認証を使用することでセキュリティを高めることができるかもしれません。

IOCS

Hash
29bdd8795f985a36c0206bb5a4566cc67be45d5058e758a8e2551da6d7263cf60845204a6d1c75092278d55c76f08346bf4419d04bcba2eee121eb2710fe24a1

Domains
gateway.pinata[.]cloud
https[://]thulth[.]com
http[://]go.eu.sparkpostmail1[.]com
https[://]554325.selcdn[.]ru
https[://]imaginaryonesmint[.]xyz
https[://]ramiche639.github[.]io/TESTGG

Yara

rule ajax_post
{
  strings:
      $a = “ajax”
      $b = “dataType”
      $c = “JSON”
      $d = “url”
      $e = “POST”
      $f = “ai: ai”
      $g = “pr: pr”
      $h = “my_slice”
      $i = “http:”
      $j = “Verifying”
      $k = “window.location.replace”
      $l = “mgss”
      $m = “show”

  condition:
      all of them
}