サイバー犯罪者は、従来の認証情報盗難を放棄し、より巧妙で破壊的な代替手段である OAuth デバイスコードフィッシングに切り替えている。
正当な Microsoft 365 認可フローを悪用することで、脅威アクターは多要素認証をバイパスしてアクセストークンを盗み、企業メールをハイジャックし、深刻なランサムウェア攻撃を仕掛けている。
かつては不明確なレッドチーム戦術だったものが、AI ツールと動的コード生成によってスーパーチャージされた大規模な脅威へと爆発的に増加している。
過去、デバイスコードは 15 分以内に有効期限が切れたため、フィッシング攻撃のタイミングを計るのが難しかった。今日、最新の攻撃者は、被害者が悪意のあるリンクをクリックした瞬間に、これらのコードを動的に生成している。
その後、ターゲットは正当な Microsoft ポータルに誘導され、コードを入力するようにだまされる。
一度認可されると、攻撃者はすぐに完全なアカウント乗っ取りに必要な認証トークンをインターセプトし、被害者のパスワードを必要とすることなく実行する。
この懸念すべき転換は、EvilTokens、Tycoon、ODx などの Phishing-as-a-Service (PhaaS) プラットフォームによって促進されている。Telegram で簡単に購入できるこれらのキットは、サイバー犯罪者にスケーラブルなキャンペーンを立ち上げるのに必要なすべてを提供する。
DocuSign、Adobe、SharePoint などの信頼できるブランドを巧妙に装った AI 生成のランディング ページが特徴である。
財政的に動機づけられたグループ TA4903 などの悪名高い脅威アクターは、従来のビジネス メール侵害戦術を放棄し、これらのキットにほぼ全面的に依存している。
最近のキャンペーンでは、攻撃者は人事部門または連邦裁判所になりすまし、PDF 添付ファイル内に悪意のある QR コードを配信して、メール フィルターをバイパスし、ユーザーをだまして実行していた。
これらのキャンペーンの生成に使用される洗練された AI ツールにもかかわらず、オペレーターは不十分な運用セキュリティ慣行により、インフラストラクチャを公開することが多い。
ただし、従業員に偽の URL を見つけるよう教えるといった従来のセキュリティ認識トレーニングは、被害者が公式の Microsoft デバイス ログイン ページに遭遇する場合には不十分である。
最強の軽減策は、Authentication Flows 条件を使用してすべてのエンタープライズ ユーザーのデバイス コード認可を完全にブロックすることである。
フローのブロックがビジネス運用に対して実行不可能な場合、組織は許可リストを作成してデバイス コードの使用を承認されたネットワークに制限するか、すべてのサインインがローカルに登録されたコンプライアント デバイスから発生することを要求する必要がある。
以下は、セキュリティ チームがこれらの悪意のある活動を検出するのに役立つ、EvilTokens および ODx インフラストラクチャに関連する最近の Indicators of Compromise (IOCs) である。
翻訳元: https://cyberpress.org/oauth-attacks-steal-tokens/