フェイクイベント招待状を活用した大規模なフィッシング キャンペーンが積極的に米国組織を標的にしており、認証情報窃取、OTP傍受、リモートアクセスツールの悪用を1つの攻撃チェーンに組み合わせています。
このキャンペーンは、脅威アクターが大規模でイベント テーマのルアーページを迅速に生成することを可能にする反復可能なフィッシング フレームワークにより際立っています。
これらのページはしばしばCAPTCHA認証ステップで始まり、通常はCloudflareを使用し、その後に説得力のある招待状インターフェースが続きます。
この初期フローはユーザーおよびセキュリティシステムにとってはルーチンに見えますが、認証情報の収集やリモート監視および管理ツールのサイレント配信など、より危険なアクションへのゲートウェイとして機能します。
ANY.RUNの分析により、2026年4月下旬の時点で、このキャンペーンに関連する約160の不審なリンクと約80のフィッシングドメインが明らかになりました。
これらのドメインの多くは.deトップレベルドメインの下で登録され、「party」「invite」「celebration」などのイベント関連キーワードを含み、ソーシャルエンジニアリングのテーマを強化しています。
このインフラストラクチャにより、攻撃者はドメインを継続的にローテーションしながら一貫したバックエンドパターンを維持することができます。
GBhackersと共有されたレポートでANY.RUNの研究者は、正当なワークフローを模倣しながら静かにアカウント侵害とシステムアクセスを可能にするために設計された調整されたインフラストラクチャを特定したと述べています。
犠牲者が招待状と相互作用すると、攻撃フローが分岐します。認証情報窃取シナリオでは、ユーザーはなじみのあるサービス経由でログインするよう促されます。
フェイク招待状フィッシング キャンペーン
フィッシング ページは、/processmail.phpなどのエンドポイントに送信されるPOSTリクエストを通じてメール認証情報を取得し、その後/process.phpを介してOTP傍受を行います。
多くの場合、犯罪者は最初の試行後に意図的に「パスワードが正しくありません」メッセージが表示させ、2回目の入力で正確な認証情報を取得する可能性を高めます。
Google固有のフィッシング フローでは、/pass.phpおよび/mlog.phpなどの攻撃者が制御するエンドポイントにログインデータを送信する偽装認証ページを使用してから、犯罪者は正当なGoogleサービスに犠牲者をリダイレクトします。
一方、キャンペーンの他のバリエーションでは、ScreenConnect、ITarian、Datto RMM、ConnectWise、LogMeIn Rescueアクセスなどの正当なリモート管理ツールが配信されます。
これらのツールは多くの場合、自動的に、または単一クリック プロンプト経由でダウンロードされ、攻撃者は信頼されたソフトウェアのふりをして永続的なリモート アクセスを確立できます。
これらのツールはエンタープライズ環境で広く使用されているため、それらの存在は即座にアラートをトリガーしない可能性があり、滞在時間が増加します。
キャンペーンの重要な機能は、防御者に識別可能なパターンを提供する再利用可能なインフラストラクチャです。
フィッシング ページは、/Image/*.pngなどのパスからアセットを一貫して読み込み、/favicon.icoと/blocked.htmlを含む予測可能なリクエスト シーケンスをトリガーします。
この均一な動作により、SOCチームは複数のドメイン間でアクティビティを関連付け、脅威インテリジェンス クエリを使用して関連する脅威を特定できます。
このキャンペーンは、メール アクセスとリモート管理が日常業務に不可欠な教育、銀行、政府、医療、テクノロジーなどのセクターに不均衡に影響します。
これらの業界の組織の場合、1つの成功したフィッシング試行により、メールボックスの侵害、不正アクセス、またはエンドポイントの完全なリモート制御が発生する可能性があります。
セキュリティ専門家は、最大のリスクが遅延検出にあることを警告しています。攻撃の各段階は単独では無害に見えるため、従来のセキュリティ制御は完全な脅威チェーンを早期に識別できない可能性があります。
ユーザーがGmailをログイン方法として選択する場合、Google認可フォームとして装われたページへのリダイレクトが観察されます。
これらのリスクを軽減するために、組織は特に初期ユーザー インタラクション フェーズでのフィッシング アクティビティについて、より早期の可視性が必要です。
ANY.RUNのインタラクティブ サンドボックスおよび脅威インテリジェンス プラットフォームなどのツールにより、アナリストは疑わしいリンクを安全に分析し、リアルタイムで動作を観察し、認証情報送信エンドポイントや不正なダウンロードなどのインジケータを特定できます。
フィッシング キャンペーンが洗練度とスケールで進化し続けるにつれて、この操作は、ソーシャル エンジニアリング、認証情報悪用、正当なツール悪用の収束の増加を強調しています。これらの混合脅威を早期に検出および中断することは、大規模な侵害を防止するために重要です。
侵害のインジケータ
URLパターン:
hxxps://<phish_site>/<url-pattern>/Image/office360.png
hxxps://<phish_site>/<url-pattern>/Image/office.png
hxxps://<phish_site>/<url-pattern>/Image/yahoo.png
hxxps://<phish_site>/<url-pattern>/Image/google.png
hxxps://<phish_site>/<url-pattern>/Image/aol.png
hxxps://<phish_site>/<url-pattern>/Image/email.png
hxxps://<phish_site>/blocked.html
hxxps://<phish_site>/<url-pattern>/processmail.php
hxxps://<phish_site>/<url-pattern>/process.php
hxxps://<phish_site>/<url-pattern>/pass.php
hxxps://<phish_site>/<url-pattern>/mlog.php
hxxps://<phish_site>/<url-pattern>/check_telegram_updates.php
注: IPアドレスとドメインは、意図しない解決またはハイパーリンク化を防止するために意図的に欠陥化(例:[.])されています。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンス プラットフォーム内でのみ再ファング化してください。
翻訳元: https://gbhackers.com/fake-invitation-phishing-campaign/
