洗練されたフィッシング・アズ・ア・サービス(PhaaS)オペレーションがGoogleおよびMicrosoftのアカウントを標的にしており、多要素認証(MFA)を含む従来の防御メカニズムを回避できると、Okta脅威インテリジェンスの研究者が木曜日のブログ投稿で警告しました。
VoidProxyと名付けられたこのフィッシングオペレーションは、アドバーサリー・イン・ザ・ミドル(AitM)技術を使用して通常の認証フローを回避します。
研究者らがこのオペレーションに関連する攻撃を最初に確認したのは1月ですが、VoidProxyのダークウェブ広告は2024年8月にはすでに始まっていたようだとOktaの研究者は述べています。攻撃は現在も続いており、Oktaによると価値の高いアカウントが標的になっています。
「複数の組織で高い確度でアカウント乗っ取りが観測されています」とOktaの研究者はCybersecurity Diveへのメールで述べています。「さらに、VoidProxyは非フェデレーションユーザーをMicrosoftおよびGoogleのサーバーに直接プロキシするため、MicrosoftとGoogleではさらに多くのアカウント乗っ取り事例が観測されていると考えられます。」
VoidProxyサービスはセッショントークン、MFAコード、認証情報を取得し、SMSコードや認証アプリで使用されるワンタイムパスワードなどのMFA方式も回避できるとOktaは述べています。
攻撃の初期段階では、Constant Contact、Active Campaign、Notify Visitorsなどの正規のメールサービスプロバイダーを利用した侵害済みアカウントからフィッシング誘導メールが送信されます。アカウントの信頼性を利用することで、スパムフィルターを回避できるとOktaは説明しています。
攻撃者はこのようなオペレーションを利用して、ビジネスメール詐欺、システム内での横移動、標的組織からのデータ流出、その他の活動を行うことができるとOktaは述べています。
一部のケースでは、Oktaのパスワードレス認証サービス「Okta Fastpass」が悪意のある活動を検知し、攻撃を阻止しました。フィッシング耐性のある認証器を持つユーザーは、認証情報を共有したり、VoidProxyインフラを利用してサインインしたりすることができなかったとOktaは述べています。
Oktaの研究者は、今回の発見についてMicrosoftおよびGoogleに通知し、SaaSパートナーとも情報を共有、月曜日にはOktaの顧客にもこのフィッシングオペレーションについて警告したことを確認しました。
このオペレーションの構造により、脅威アクターが標的組織に対して独自のフィッシング攻撃を開始するために必要な技術的ハードルが実質的に下がると研究者らは述べています。
「このような新しいフィッシングキャンペーンが定期的に現れるため、私たちはこうした攻撃からユーザーを守るために耐久性のある保護策を設計しています」とGoogleの広報担当者はCybersecurity Diveに語りました。
この保護策には、ドメインなりすまし、フィッシングリンク、侵害された送信者からの保護が含まれると広報担当者は述べています。
Googleは、Oktaのレポートで推奨されている通り、ユーザーがフィッシング対策として強力な手段であるパスキーを採用することに同意していると広報担当者は付け加えました。
Microsoftはコメントを控えましたが、広報担当者は一般的な緩和策のガイダンスへのリンクを提供しました。
翻訳元: https://www.cybersecuritydive.com/news/researchers-voidproxy-phishing-bypass-mfa/760017/