FBIは、Microsoft 365アクセストークンを取得する急速に成長中のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームであるKali365について、木曜日に公開警告を発表し、組織とディフェンダーに対して警告しています。
このツールキットは多要素認証をバイパスし、一般的なエンタープライズサービスになりすまして、フィッシング・ルアーを使用してOAuthデバイスコード認可を不正利用しています。この技術により、サイバー犯罪者が管理するアプリケーションがMicrosoft 365アカウントへのアクセスを取得し、被害者はデータ盗難、詐欺、脅迫、ランサムウェア攻撃など、その後の多くの悪質な活動にさらされます。
研究者によると、Kali365は急速に出現しているデバイスコード・フィッシングツールの1つで、サイバー犯罪者が正当なMicrosoftデバイス認可ページを不正利用しながらセキュリティ制御を回避するより効果的な手段として人気が高まっています。
デバイスコード・フィッシングプラットフォームは、認証情報と二要素認証コードを盗むフィッシングキットを介してアカウントにアクセスするのではなく、単一のコードで悪質なアプリを正当なアカウントに接続します。このプロセスはステップが少なく、ユーザーとの相互作用も少なくて済みますが、被害者はアクセスを許可するためにKali365プラットフォームで生成されたコードをコピー・ペーストする必要があります。
「私たちはかなりのデバイスコード・フィッシング活動を目撃していますが、その多くが非常によく似ています。すべて同じ種類のルアー、同じ種類のコンテンツ、同じブランディングを使用しています」とProofpointのシニア脅威研究者Selena LarsonはCyberScoopに語りました。「これは非常にAI生成、AI駆動であり、脅威行為者はこのシフトがすべて一度に起こるのを見ているため、かなり効果的であると考えていると思います。」
Proofpoint研究者は先月の10日間に、ほぼ同一に見える7つのデバイスコード・フィッシングツールを観察しました。
デバイスコード・フィッシングは新しいものではありませんが、Kali365のようなプラットフォームはMFA フィッシングとは異なる新しい技術を統合しており、その結果、より効果的である可能性があります。「これは人々が慣れていないかもしれません。少しスマートです」とLarsonは述べました。
これはこれらのサイバー犯罪ツールが非常に急速に成長している理由をある程度説明しています。Larsonは、Proofpointが2月から始まるデバイスコード・フィッシング活動の爆発的増加を観察したと述べました。
FBIによると、4月までにKali365は稼働中で、主にTelegram経由で配布されていました。「Kali365は参入障壁を低下させ、技術的知識が少ない攻撃者にAI生成フィッシング・ルアー、自動化されたキャンペーン・テンプレート、リアルタイムのターゲット化された個人/エンティティ追跡ダッシュボード、およびOAuthトークン取得機能へのアクセスを提供します」と機関は公開警告で述べました。
Kali365に関連する大規模キャンペーンも追跡しているArctic Wolf Labsの研究者によると、プラットフォームはアフィリエイトに30日間のサービスで$250、または通年で$2,000を請求しています。
Kali365はキャプチャしたOAuthアクセストークンとリフレッシュトークンを保存し、プラットフォーム上のアフィリエイトが利用できるようにしています。これらのトークンは、初期フィッシング・ルアーに参加しなかった他のサイバー犯罪者によって共有・再利用することもできます。とArctic Wolf研究者は付け加えました。
FBIはまた、これらのMicrosoft 365トークンが永続的なアクセスを提供し、攻撃者がパスワードや追加のMFA要求なしに複数のMicrosoftサービスを通じて移動することを可能にすることにも言及しました。
「組織内に一度入ると、アイデンティティは非常に非常に強力です」とLarsonは述べ、攻撃者はそのアクセスを悪用して人になりすまし、恐喝のためにデータにアクセスして盗み、詐欺を犯し、マルウェアを展開できると付け加えました。
翻訳元: https://cyberscoop.com/fbi-phishing-kali365-microsoft365-access-tokens/
