-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月15〜17日:サイバーセキュリティ関連ニュース
AdobeやDocuSignに偽装した有害なOAuthアプリがMicrosoft 365アカウントを標的に
BleepingComputer – March 16, 2025
Microsoft 365アカウントの認証情報を盗むため、AdobeやDocuSignのアプリに見せかけたマルウェアを配布する有害なMicrosoft OAuthアプリが宣伝されている。
このフィッシングキャンペーンを発見したProofpointの研究者は、X上のスレッドで「高度に標的化されている」と評価した。有害なOAuthアプリはAdobe Drive、Adobe Drive X、Adobe Acrobat、DocuSignなどに偽装され、検出あるいは被害者に疑われることを避けるために「プロファイル」「メール」「openid」などの機微性の高くない権限へのアクセスを要求。これらの権限が付与されると、攻撃者は以下の情報へアクセスできるようになるという。
- profile – フルネーム、ユーザー ID、プロフィール写真、ユーザー名
- email – プライマリメールアドレス(受信トレイへのアクセスなし)
- openid – ユーザーIDの確認とMicrosoftアカウントの詳細を取得可能
上記のように、有害なOAuthアプリを受け入れても攻撃者に提供されるデータは限定的だが、こうした情報はさらなる標的型攻撃で使われる恐れがある。加えて、OAuthアプリへ権限が付与されたあと、ユーザーは別のフィッシングページへリダイレクトされ、そこでMicrosoft 365アカウントの認証情報を窃取されたり、マルウェアを配布されたりする可能性があるという。
配布されているマルウェアは特定できていないが、攻撃者は過去1年間で急激に人気が高まってきたClickFixソーシャルエンジニアリング攻撃を利用したとされる。また、慈善団体あるいは中小企業の侵害されたメールアカウント(おそらくOffice 365アカウント)がフィッシングメール送信の踏み台として悪用されているとみられ、米国や欧州の政府、医療、サプライチェーン、小売など複数の業界がターゲットにされている模様。一部のメールには、有害なリンクを開かせるためにRFPや契約がルアーに使われていると報告された。
OAuthアプリは認証情報を盗まずMicrosoft 365アカウントを乗っ取る効果的な方法であり続けており、この攻撃も2019年に報告されたものと類似点があるとBleepingComputerは指摘している。
Booking.comになりすまし、認証情報を盗むマルウェアをばらまくフィッシングキャンペーン
Securityonline[.]info – March 15, 2025
Microsoft Threat Intelligenceのレポートによると、Booking.comになりすました巧妙なフィッシングキャンペーンがホスピタリティ業界の複数組織を狙い、新しいソーシャルエンジニアリング手法で認証情報を盗み出すマルウェアを配布しているという。
このキャンペーンは2024年12月に始まり、2025年2月の時点でも継続中とされるもの。有害なコマンドをコピー&ペーストさせるClickFixの攻撃手法でユーザーを騙し、従来のセキュリティ対策を回避してマルウェアをダウンロードさせている。攻撃ではまずBooking.comに扮した偽メールを送りつけ、リンクや添付のPDFファイルを使って偽サイトへ誘導。さらに偽のCAPTCHAで被害者に安心感を与えつつ、Webページがクリップボードに追加するコマンドを貼り付けて起動するよう指示した上、有害なコードをダウンロードするmshta.exeを実行させる。
金銭関連のデータや認証情報を盗むよう設計されたXWorm、Lumma Stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RATなどさまざまなコモディティマルウェアが配布されているようで、これらのペイロードはマイクロソフトがStorm-1865として追跡する脅威アクターの特徴に一致していると説明された。Storm-1865は遅くとも2023年初頭からペイメントデータの窃取や不正請求につながるフィッシングキャンペーンに関与していることが判明しており、ClickFixの使用は同アクターがセキュリティ対策の回避戦術を進化させたことを示唆するとマイクロソフトは話している。
同社はこれらの脅威から身を守るため、送信者を確認し、メール内のリンクを安易にクリックしないこと、あるいはドメインなどにタイプミスがないかどうかをチェックするといった対策を呼びかけている。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
