日本郵政グループCISO様によるユーザー講演をオンデマンドで配信中!
Most Searched
従来のセキュリティアプローチには抜け道があり、コストが高く、セキュリティ チームにとって負担が大きいものでした。しかしメンロ・セキュリティは違いま す。最もシンプルかつ信頼のおける方法で業務を守り、オンラインの脅威からユー ザーやビジネスを分離します。
我々のプラットフォームは目に見えませんがオンラインユーザーがどこにいても保護しています。脅威は過去のものになり、アラートの嵐は過ぎ去りました。
データシート
従来のネットワークセキュリティは現在の複雑な環境を想定していません。SASEでこの問題を解決。
ソリューション概要
Menlo Labs は、脅威インサイト、専門知識、コンテキスト、およびツールを提供して、顧客が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。 このチームは、既知の脅威と未知の脅威にスポットライトを当てる専門的なセキュリティ研究者で構成されています。
購入ガイド
Menlo Labs は、知見、専門知識、コンテキスト、およびツールを提供して、お客様が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。
Menlo Security | 5月 19, 2022
Share this article
Menlo Labsの研究チームは最近、Browser in the Browser(BitB)攻撃を使用することで知られる悪意のあるドメインの分析を行いました。ユーザーがサイトにアクセスし、サードパーティ(GoogleやFacebookなど)を経由したサインインを要求されたときに、BitB攻撃が開始されます。ユーザーがリンクをクリックすると、HTMLとCSSを使って完全に構築されたポップアップが表示されます。ポップアップに表示されるURLは正規のサイトのように見えますが、その下にあるiframeはフィッシングサイトを指し示しています。これらの攻撃は、HEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)テクニックを利用して検知を回避しています。
gateway[.]pinata[.]cloudというドメインを分析したところ、複数のフィッシングサイトに関連していることがわかりました。サイトが異なるだけでなく、参照リンクも異なっていました。一般的なメールのログインページから偽のCDCランディングページまで、このドメインはフィッシングサイトの宝庫でした。今回は、そのうちのいくつかをご紹介します。
最初に調べたのは、以下のURLです。
gateway.pinata[.]cloud/ipfs/QmUaW8pYp41riYfRCiYLWGi1omwKV5erkYLzE469jZdk7b
VirusTotal(VT)によると、これはマルウェアに関連しており、そのマルウェアはAPT10に関連しているとラベル付けされています。このURLでサイトにアクセスすると、一般的なメールログインページが表示されます。
[アナリストのコメント:VTではこの特定のURIをAPT10マルウェアと関連付けていますが、分析時点ではこの関連性を確認することができませんでした。]
同じURLにアクセスし、最後に #[email protected] を追加すると、CDCのログインページが表示されます。
私たちはまた、参照しているURLの中にメールが含まれているものがあることにも気づきました。例えば https[://]thulth[.]com/public/css//#[victimname]@henkel.com は、https[://]gateway.pinata[.]cloud/ipfs/Qmdxg94XWxwtZEF7RM712RZL7w4efBEYNHNMujNiFRyHg/ で終わっています。これはマイクロソフトのターゲットページでした。
その他の興味深い参照URLには、Ciscoのようなサイトにリンクしているものがあります。Cisco WebexのWebサイトからのこのオープンリダイレクトについては、Binary Defenseのブログでも解説されています。このブログによると、「オープンリダイレクトとは、Webサイトが任意のURLをパラメータの1つとして受け付け、その指定されたURLにブラウザーを転送する機能を悪用し、リンクの本当の目的地を偽装するために使われる手法。」ということです。今回のケースでは、リダイレクト先が別のマイクロソフトのターゲットページになっているわけです。
私たちは、https[://]thulth[.]com と http[://]go.eu.sparkpostmail1[.]com から繰り返し参照されるURLも確認しました。どちらもマイクロソフトをターゲットにしていました。
被害者が認証情報を入力すると、JavaScriptを介して https[://]ortadogulular[.]com/support/shieldsshots.php に投稿します。これはHighly Evasive Adaptive Threat(HEAT)と呼ばれるサイバー脅威の一種で、Webブラウザーを攻撃手法として活用し、セキュリティスタックの複数レイヤーでの検知を回避するために、今回のようなさまざまなテクニックを採用していると考えられています。
このドメインのほとんどのサイトが、これらのテクニックを採用していることがわかりました。このBitB攻撃は、Javaを利用して被害者の認証情報を投稿します。このコードを分析したとこと、このテクニックを使うサイトをホストしているドメインをさらに特定することができました。
コード分析から見つかったドメイン(554325.selcdn[.]ru)はフィッシングメールにリンクしており、このメールの件名には被害者の名前の共有フォルダであると書かれています。メッセージの本文は、内部アクセスフォルダのリンクをクリックするよう被害者を誘導しており、そのリンクは同じJavaScriptコードを使用して認証情報を流出させるBitBフィッシングサイトに被害者を誘導します。
私たちのオリジナルドメインである gateway.pinata[.]cloud でも、ログインして共有ドキュメントを閲覧するよう求めるフィッシング攻撃が行われていましたが、このフィッシングサイトはログインしてExcelドキュメントを閲覧するよう求めているように見えます。
また、分析しているあいだに、まだ作成中と思われるBitBサイトも発見しました:https[://]ramiche639.github[.]io/TESTGG は、空のランディングページに誘導した後 https[://]imaginaryonesmint[.]xyz にリダイレクトします。このページには、Googleのログインページと思われるBitBウィンドウがロードされます。しかし、分析時には正常に動作しておらず、フィッシングページを完全に読み込むことはできませんでした。
攻撃者は、被害者を騙して認証情報を提供させる新たな方法を模索し続けているため、BitB攻撃は今後も増加し続けるものと思われます。SSOを使用する際には、多要素認証を使用することでセキュリティを高めることができるかもしれません。
Hash29bdd8795f985a36c0206bb5a4566cc67be45d5058e758a8e2551da6d7263cf60845204a6d1c75092278d55c76f08346bf4419d04bcba2eee121eb2710fe24a1
Domainsgateway.pinata[.]cloudhttps[://]thulth[.]comhttp[://]go.eu.sparkpostmail1[.]comhttps[://]554325.selcdn[.]ruhttps[://]imaginaryonesmint[.]xyzhttps[://]ramiche639.github[.]io/TESTGG
rule ajax_post{ strings: $a = “ajax” $b = “dataType” $c = “JSON” $d = “url” $e = “POST” $f = “ai: ai” $g = “pr: pr” $h = “my_slice” $i = “http:” $j = “Verifying” $k = “window.location.replace” $l = “mgss” $m = “show”
condition: all of them}
Posted by Menlo Security on 5月 19, 2022
Tagged with Menlo Labs
Threat Trends & Research
Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。 また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。