マイクロソフトが偽のAzureテナントを作成し、フィッシング攻撃者をハニーポットへ誘導

nosa

2024.10.21

10月21日：サイバーセキュリティ関連ニュース

マイクロソフトが偽のAzureテナントを作成し、フィッシング攻撃者をハニーポットへ誘導

BleepingComputer – October 19, 2024

マイクロソフトはフィッシング攻撃を行う脅威アクターたちを欺く戦術を用意し、Azureにアクセス可能なハニーポットを作成してサイバー犯罪者たちを誘い込んでいる。

BSides Exeterカンファレンスで明かされた同社の狙いは、この罠に引き寄せられたサイバー犯罪者のさまざまな情報を収集すること。これにより有害なインフラをマッピングし、高度なフィッシングオペレーションへの理解を深めると共に、大規模なキャンペーンの妨害、サイバー犯罪者の特定とその活動の大幅な鈍化が可能だという。

ハニーポットと言えば通常、脅威アクターを待ち構えるアプローチが一般的だが、マイクロソフトの場合はただ待つのではなく、逆に攻撃者を呼び込むための能動的なアクションを仕掛ける点が異なっている。具体的にはDefenderによって識別されたフィッシングサイトを訪れ、ハニーポットのテナントの認証情報を入力。この情報は2要素認証で保護されていない上、テナントは本物にしか見えないため、攻撃者を簡単に騙して誘い込むことができる。

同社は毎日約2万5千件のフィッシングサイトを監視し、その20％近くにハニーポットの認証情報を提供。攻撃者が偽のテナントへログインするケースは5％とのことだが、侵入を機に詳細なログが記録されるようになり、すべての行動を追跡した上で、使用する戦術・技術・手順を学習する仕組みになっている。

ハッカーらがWebメールRoundcubeのXSS脆弱性を悪用し、ログイン認証情報を盗む（CVE-2024-37383）

The Hacker News – Oct 20, 2024

未知の脅威アクターがユーザーの認証情報を盗むために設計されたフィッシング攻撃の一環として、オープンソースのWebメールソフトRooundcubeにおける修正済みの脆弱性を悪用しようとしていることが確認された。

ロシアのサイバーセキュリティ企業Positive Technologiesは先月、独立国家共同体（CIS）諸国の1つにある政府機関に送信された1通のEメールについて言及。「添付文書のみを含む、テキストのないメッセージのようだった」が、「Eメールクライアントは添付ファイルを表示せず、本文にはJavaScriptコードをデコードして実行するステートメントeval(atob(…))を含む特徴的なタグが含まれていた」と明かした。

同社によると、この攻撃チェーンはCVE-2024-37383（CVSSスコア 6.1）を悪用する試みとのこと。この欠陥はSVGアニメーション属性を介した格納型クロスサイトスクリプティング（XSS）の脆弱性で、被害者のWebブラウザのコンテキストで任意のJavaScriptが実行できるようになる。つまり、攻撃者は受信者を騙して特別に細工したメッセージを開かせるだけで、任意のJavaScriptコードを読み込ませて機微情報にアクセスすることができる。

ただし、この問題は2024年5月にバージョン1.5.7および1.6.7で解決されており、先述のメールが最初に送信されたのも今年6月だという。誰がこの攻撃の背後にいるのか、現時点ではわかっていないものの、過去に発見されたRoundcubeの欠陥はAPT 28、Winter Vivern、TAG-70といったハッキンググループに悪用されている。