出典: Mohd Izzuan Roslan via Alamy Stock Photo
野生で発見された新しいフィッシング攻撃は、複数の技術を組み合わせて、検出システムをすり抜けて被害者の受信トレイに入り込むメールを作成しました。従来の難読化を使用せずに。
これは、セキュリティベンダーFortraによって火曜日に発表された研究によるものです。報告書は「脅威分析: O365フィッシング攻撃で利用された悪意のあるNPMパッケージ」と題され、先月、同社の疑わしいメール分析(SEA)チームが野生で観察した新しい攻撃に関するものです。
「脅威アクターの主な目標は、Microsoft O365の資格情報を収集することでした。フィッシング攻撃は新しいものでも珍しいものでもありませんが、このケースで採用されたアプローチは、その複雑さと現代技術の創造的な使用、.htmファイルのリンク、AES [Advanced Encryption Standard]の使用、よく知られたコンテンツ配信ネットワーク(CDN)への呼び出し、悪意のあるコードを含むnpmパッケージの使用などにより注目に値します」と研究は述べています。
Fortraは、暗号化、CDN、またはnpmパッケージの使用は以前からフィッシング攻撃で見られてきたものの、O365フィッシング攻撃でこれらが連携して動作するのを同社が観察したのは初めてだと述べています。
攻撃の仕組み
Fortraの研究者Israel Cerdaは、同社がクライアントの代わりに受け取ったフィッシングメールを調査していたとDark Readingに語ります。メール自体は「かなり標準的」に見え、添付ファイルがあり、DocuSignの通知を主張していましたが、Fortraは攻撃の動作にいくつかの興味深い技術的側面を見つけました。
関連:「Operation RoundPress」がウクライナをターゲットにしたXSSウェブメール攻撃
一つには、添付ファイルが.htmファイルで、見込みのある被害者がクリックするとCDNへのリンクとして機能するものでした。さらに、.htmファイルはAESで暗号化されていました。
「一見すると、EFT-PMT.htmファイルには単純なフィッシングペイロードが含まれているように見えました。しかし、詳しく調べると、ファイルは変数’encryptedAthens’に格納された文字列を隠すためにAES暗号化を利用していることがわかりました」と研究は述べています。
暗号化の使用は脅威アクターの間で一般的ですが、このケースで使用された暗号化の種類は研究チームにとって際立っていました。
「Advanced Encryption Standard(AES)暗号化は、フィッシングキャンペーンでは比較的珍しいアプローチです」と研究は続けます。「通常、脅威アクターは、obfuscator.ioのような簡単で洗練されていない技術に頼って悪意のあるコードを難読化します。しかし、このケースはより高度な方法を提示しており、さらなる調査に値する注目すべき主題です。」
.htmファイルは悪意のあるnpmパッケージを実行し、リンクを開いてユーザーをいくつかのリダイレクトページを通過させ、最終的にユーザーの資格情報が収集される偽のMicrosoft 365ランディングページに導きます。
関連:S. Dakota CIO GottumukkalaがCISA副局長に就任
Cerdaが指摘するように、毒されたソフトウェアパッケージは残念ながら定期的に発生し、注目すべき新しいキャンペーンがニュースで毎月または2か月ごとに登場します。
Fortraが分析したサンプルをサポートする正確なインフラストラクチャはもはや機能していません。npmパッケージは関連するCDNによってブロックされ、ベンダーのjsDelivrが活動を調査した時点で、重要なリダイレクトもオフラインであり、最終的なO365フィッシングページもオフラインでした。それでも、Fortraはこの攻撃を「非常に洗練された」と呼び、脅威アクターが悪意のある.htm添付ファイルをAESで暗号化し、ある程度信じられるが偽のMicrosoft 365ランディングページにターゲットを誘導することに成功したと述べています。
「その添付ファイルには基本的に難読化がなく、それでも受信トレイに正常に配信されました」とCerdaは言います。「疑問が生じます。AESの使用を検出することにおいて、業界としてどれほど効果的なのか。AESはかなり一般的です。また、.htm添付ファイルが読み込まれると、最初に行うことはよく知られたCDNにアクセスし、トラフィックと混ざり合うことです。したがって、非常に特定のパッケージ名を探していない限り、検出するのは難しいのではないかと疑っています。」
防御者のポイント
Cerdaは、この技術がどれほど効果的かを言うのは難しいと言います。なぜなら、単にデータが不足しているからです。しかし、彼は付け加えます。「これがもっと見られない理由は、ブロックされているからかもしれませんし、これがペイロードを配信する効果的な方法ではないからかもしれませんし、脆弱性があるからかもしれませんが、確かなことは言えません。」
Fortraの研究には、妥協の指標や追加の技術的詳細が含まれています。
Dark Readingは、Cerdaにフィッシング攻撃に伴う標準的な推奨事項、例えば通信の疑わしい詳細に注意を払い、従業員がフィッシングメールを見分ける訓練を受けていることを確認すること以外に、この攻撃から防御者が学ぶべきことを尋ねました。彼は、組織は柔軟であり、「ニッチなフィッシング攻撃」に注意を払う必要があると言います。
「たとえサンプルが1つしかなくても、将来的に同じ方法で悪用される可能性があるので、生成できるシグネチャを探し続けるべきです」とCerdaは言います。「例えば、添付ファイルを見てください。メールに.htmファイルが含まれていて、暗号化されたペイロードが含まれているのは少し奇妙です。それは警報を鳴らすべきです。」
翻訳元: https://www.darkreading.com/threat-intelligence/novel-phishing-attack-combines-aes-npm-packages