Skip to content
検索
  • There are no suggestions because the search field is empty.
キャンセル
採用情報

    KnowBe4 ブログ

    正規のビジネスドメインを使用した認証情報の収集

    KnowBe4 Threat Labパブリケーション
    著者:Jeewan Singh Jalal Anand BodkeMartin Kraemer

    要約
    KnowBe4 Threat Labは、Microsoftの認証情報を収集することを目的とする複数の組織を標的とした巧妙なフィッシングキャンペーンを分析しました。

    画像0-1このキャンペーンでは、脅威アクターが、検出を回避しクリックの成功率を高めるために、侵害されたドメイン、そのサブドメイン、メール一斉送信サービス、オープンリダイレクトの脆弱性が使われました。

    このキャンペーンは2024102日から3日にかけて実施され、高度化する脅威に対抗するためのサイバーセキュリティ文化の継続的な醸成の必要性を浮き彫りしました。

    脅威アクターは、確立されたレピュテーションの信用を得る、セキュアEメールゲートウェイを潜り抜ける、そして、正規サービスは検出対象外となるため検出から逃れるために、正規のビジネスドメインを侵害します。今回のキャンペーンでは、攻撃者は、正規のビジネスインフラを侵害し、完全にユーザーに到達するようにSPFDKIMDMARCが設定されたメール配信サービスを悪用しました。攻撃者は、使用されていないCNAMEエントリーを悪用してサブドメインを作成し、DNS管理コンソールを侵害しました。

    攻撃者は、様々な戦術とテクニックを駆使してユーザーをフィッシングのランディングページにリダイレクトさせました。メールセキュリティソリューションを回避し、標的に対するソーシャルエンジニアリングを成功させる可能性を高めるために、様々な戦術が用いられています。 フィッシングのランディングページは、添付ファイル内のQRコード、隠しJavaScriptHTMLリダイレクト付きの添付ファイルや正規のURLのオープンリダイレクトを利用してリンクされていました。

    攻撃者は、メールセキュリティソリューションを回避し、従業員の受信トレイに到達する新しい戦術、テクニック、プロセスを次々と開発しています。セキュリティ対策を強化している組織では、オープンソース・インテリジェンス、マシン・インテリジェンスに加えて、ヒューマン・インテリジェンス活用して、メールゲートウェイのセキュリティを向上させています。さらに、サイバー攻撃に強い組織では、エンドユーザーに対してソーシャルエンジニアリング攻撃に対抗するためのトレーニングも行っています。このトレーニングを通して、攻撃の予兆となるレッドフラグを見つけ、感情的知性と批判的思考力を鍛えることを実施しています。

    関連データ
    このキャンペーンは、2024102日から3日にかけて実行されました。このキャンペーンに起因すると報告された170件を超えるメールの大半は、主に米国(90%)に実在する金融機関や医療分野の組織から送信されたものでした。

    フィッシングのランディングページにリダイレクトするHTML添付ファイルペイロードが最も多く見られました(27件)。その他のペイロードには、QRコードを含むPDFファイル(4件)と、正規のURLの悪用(4件)が含まれていました。メール本文に隠されたJavaScriptを含んだメールや、MS Teamsの通知を模倣したメールも含まれていましたが、その広がりについてはさらなる調査が必要です。

    技術的な詳細
    このキャンペーンでは、正規のビジネスアドレスと正規のサービスからフィッシングメールが配信され、最終的にMicrosoftの認証情報が詐取されます(図1)。

    画像0_2-1
    図1 Microsoft    を騙るフィッシングランディングページのスクリーンショット

    このキャンペーンの主な特徴
    キャンペーンは2024102日、UTC(世界協定時刻)午後1130分頃に開始されました。これらのメールは、次のように、様々な組織に送信されました。

    • 発信元: info@transactional.beckermedia.net
    • 発信者名: 報告されたメールのほとんどで、表示名が異なっていました。
    • メール本文: 各組織は全て異なるメールテンプレートを受け取っており、その全てに最終的にフィッシングランディングページに誘導されるURLが含まれています。
    • 件名: 件名も各組織とその送信者ごとに異なります。
    • 攻撃者が使用したテクニックは、正規のWebサービスを介したオープンリダイレクトの悪用と信頼された正規のドメインの侵害でした。
    • MITRE ATT&CKについて: 脅威の主体が使用する戦術は偵察であり、手法はスピアフィッシングリンクとスピアフィッシング添付ファイルによる情報フィッシングです。
    • CWE CWE-601について: 信頼できないサイトへのURLリダイレクト(「オープンリダイレクト」)が、攻撃者が悪用した脆弱性です。これは、Webサービス開発者が入力内容を適切に検証していないために、よく発生します。
    • 最終的なランディングページは、認証に成功したユーザーの認証情報とセッションを収集することを目的とした、MSのログインページでした。

    戦術 
    脅威アクターは、次のような理由で、正規のビジネスドメインを攻撃することを好みます。

    • スコアが良いドメインのレピュテーションとその期間
    • ビジネスの妨げになることを恐れ、アクセスのブロックがなかなかできない
    • ドメインのレピュテーションによってセキュリティスキャンを回避できる
    • 攻撃の出所を不明瞭にすることで調査を複雑化
    • 主要なセキュリティベンダーから良いレピュテーションを受けホワイトリストに登録されている
    • 報告されるまで、メールセキュリティゲートウェイに引っかからない
    • 最小限の認証で素早くアカウントを作成
    • 攻撃者所有のインフラと比較して、高いクリック率
    • 往々にして、これらの正規のサービスでは調査が中断されるため、匿名性を確保している

    良く使われる戦術:

    • 既存のビジネスインフラを活用
    • 次の方法でサブドメインを作成 
      • 休止状態のCNAMEエントリーを悪用 
      • DNS管理コンソールを侵害

    このキャンペーンでは、攻撃者がDNS管理コンソールを侵害し、サブドメインとTXTレコードを作成し、悪意のある目的でMailgunメールサービスを使用できるようにしていることが確認されました。

    画像0_3
    2:サブドメインを作成して、Mailgunメール送信サービス用に構成設定

    また、適切に構成された電子メール配信サービスである Mailgun では、有効な SPFDKIM、および DMARC が使用されていたため、これらの認証に依存するセキュリティ ポリシーがバイパスされることが確認されました。

    デリバリーメカニズム
    このキャンペーンでは、脅威アクターがより高いクリック率を達成するために、以下のような様々な配信メカニズムを展開していることが確認されています。

    1.HTML添付ファイルを開くと、フィッシングページにリダイレクトされます
    画像0_4
    3:空白のメール本文とリダイレクトリンクを埋め込んだ悪質なHTML添付ファイルを含むテンプレート

     2.PDFの添付ファイルには、QRコードが含まれており、スキャンされるとフィッシングページにリダイレクトされます。

    画像0_5
    4:フィッシングページへのオープンリダイレクトを利用したQRコードを含むPDF添付ファイル

    3.メール本文には、HTMLビューアで開くとフィッシングページにリダイレクトするJavaScriptコードが隠されています。

     画像0_6
    5:フィッシングランディングページにリダイレクトする非表示JavaScriptコード

     4.正規のURLを悪用して、フィッシングページへオープンリダイレクトが行われます。

     画像0_7
    6:正規のURLをフィッシングランディングページへオープンリダイレクト

    5.フィッシングページへのリンクを含む偽のMicrosoftの通知。

     画像0_8
    7:偽のMS通知

     KnowBe4の推奨事項

    1. EDR(Endpoint Detection & Response)を使用して、異常な行動や悪意のあるソフトウェアを検出
    2. DNSエントリーを監視して、覚えのない変更を検出
    3. 送信メールのトラフィックを監視し、メールアカウントの侵害されている可能性を示す兆候を、異常から見つけ出す
    4. ソーシャルエンジニアリングに対抗し、フィッシングの危険信号を見抜き、QRコードをレビューし、添付ファイルへ注意を払う、普段と違うメールの異変を見極めるために、従業員をトレーニングする
    5. ユーザーのプロアクティブな行動を促進するセキュリティ文化を形成する

    KnowBe4 Threat Labについて
    KnowBe4 Threat Labは、専門家の分析とクラウドソーシングによるインテリジェンスを組み合わせることで、メールの脅威とフィッシング攻撃の最新の状況を調査分析し、その緩和策を提供することを目的としています。経験豊富なサイバーセキュリティの専門家チームは、最新のフィッシングのテクニックを調査し、これらの脅威に先手を打って対抗するための戦略を開発しています。グローバルなKnowBe4カスタマーコミュニティからのインサイトを活用することで、包括的な推奨事項とタイムリーなアップデートを提供し、高度化するメールベースの攻撃から組織を保護し、対応できるようにします。KnowBe4 Threat Labは、KnowBe4のイノベーションと専門知識へのコミットメントであり、進化し続けるサイバー脅威への強固な防御を提供していきます。

    原典:Martin Kraemer 2025128日発信 https://blog.knowbe4.com/using-genuine-business-domains-and-legitimate-services-to-harvest-credentials

     

    Topics: フィッシング, KnowBe4 SATブログ, KnowBe4 Threat Labパブリケーション, KnowBe4 Threat Lab

     

    KnowBe4ブログに戻る

    Get the latest about social engineering

    Subscribe to CyberheistNews