-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
新フィッシングサービスRockstar 2FAがMicrosoft 365アカウントを標的に
BleepingComputer – November 29, 2024
今年8月から脅威アクターたちの間で人気を増しつつある新たなフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Rockstar 2FA」について、Trustwaveが報告。このPhaaSによって、Microsoft 365などの認証情報を盗む大規模な中間者(AiTM)攻撃が円滑に行えるようになるという。なおTrustwaveによれば、Rockstar 2FAは2023年前半・後半にそれぞれ人気を博したフィッシングキットDadSecおよびPhoenixのアップデートバージョンであるとされる。
AiTMプラットフォームといえば、標的アカウントに設定された二要素認証(2FA)や多要素認証(MFA)を回避することを目的に使われるサイバー犯罪ツール。Rockstar 2FAもこの点は同様で、有効なセッションクッキーを傍受することによりMFAのバイパスを可能にする。もう少し具体的には、まずターゲットユーザーをMicrosoft 365のログインページに見せかけたフィッシングページへ誘導し、そこにログイン認証情報を入力させるよう仕向ける。この際、Rockstar 2FAのサーバーはプロキシとして機能し、入力された認証情報を正規のマイクロソフトサービスへと転送。ユーザーにより正規の認証プロセスが完了されると、当該サービスからユーザーへ送り返されるクッキーを窃取する。そしてこのクッキーを使うことで、攻撃者は認証情報を入力したりMFAをクリアしたりせずとも、ターゲットユーザーのアカウントへダイレクトにアクセスできるようになる。
Rockstar 2FAはTelegramやその他のプラットフォームなどで宣伝されており、2週間200ドルという価格で販売されている。また2週間ごとのAPI更新サービスは180ドル。広告では多様な機能とともに「対ボット保護」が謳われているが、これはCloudflare Turnstileチャレンジを利用してボットをフィルタリングするというもの。フィッシングサイトを訪れようとしたのがボットやセキュリティ研究者、もしくはその他の望まれないユーザーだった場合、これらは無害なデコイページへリダイレクトされるようになっているという。
今年8月には別のPhaaSプラットフォーム「LabHost」が法執行機関によりテイクダウンされたばかりだが、今回のRockstar 2FAの登場と人気ぶりにより、フィッシングオペレーターたちが相変わらずこうした不法サービスの提供を続けていることが浮き彫りになった。低コストで利用可能なこうしたコモディティツールが出回り続ける限り、大規模かつ効果的なフィッシングキャンペーンのリスクは重大なものであり続けるだろうとBleepingComputerは評価している。
関連記事
情報セキュリティ
MFA
セキュリティ体制構築支援
中小企業
中間者攻撃とは?種類や事例、対策などについてわかりやすく解説
佐々山 Tacos
2024.12.05
MFA
セキュリティ体制構築支援
中小企業
破損したWord添付ファイル用いて検出を回避する新たなフィッシングキャンペーン
BleepingComputer – December 1, 2024
メールセキュリティソフトウェアによる検出を回避するための新たなフィッシング戦術について、マルウェアハンティング企業Any.Runが報告。これは、添付ファイルとしてあえて破損のあるWordドキュメントを送付することで、アンチウイルスによる適切な分析を不能にする手口だという。
Any.Runが観測したフィッシングキャンペーンでは、給与担当部署や人事部門を送信元に見せかけたフィッシングメールが送付される。件名には、ボーナスやその他の手当や補償について通知するような文言が記されており、関連するタイトルのWordファイルが添付されている。
しかしこのファイルを開封すると、ターゲットのPC上のWordソフトがファイルの破損を検出。ファイル内に読み取り不能なコンテンツが見つかったとする警告とともに、修復するかを問うメッセージが表示される。これに「はい」と答えると、Wordがファイルを修復。こうして開かれた文書には、ターゲット企業のロゴとともにQRコードが表示されており、スマートフォンでこれをスキャンして直接ボーナスやその他手当に関する文書へアクセスするよう指示する内容が記載されている。しかし、このQRコードの実際の遷移先はマイクロソフトのログインページに見せかけたフィッシングサイト。そして騙されたユーザーがここにログイン情報を入力すると、その認証情報が攻撃者の手に渡るという仕組みになっている。
故意に破損させた添付ファイルは、Wordソフトによって簡単に修復可能なものでありながら、破損がゆえにアンチウイルスによる適切な分析ができなくなっている。このためVirusTotalにアップロードされた添付ファイルのサンプルはみな、アンチウイルスソリューションによる判定が「クリーン」または「アイテムが見つかりません」だったという。また、添付ファイル自体に含まれるのはQRコードのみで、有害なコードが含まれていないという点も、今回のフィッシングの検出を困難にする要因の一つである可能性がある。
ただ、今回のような新たなフィッシング手法に対しても、「未知の送信者から送られてきたメール、特に添付ファイル付きのメールはすぐに削除するか、開封前にネットワーク管理者に確認する」などの一般的なフィッシング対策が有効であるとのこと。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
