現在のキャンペーンでは、初心者の攻撃者でも認証トークンを頻繁に取得でき、かつてフールプルーフとされていた保護を回避されている。
サイバーセキュリティ専門家は、多要素認証ログイン保護を回避するためにMicrosoft 365(M365)アクセストークンを盗くことを目的とした増加するフィッシングキャンペーンについて、企業管理者に警告を発しています。
M365トークンをキャプチャすることを目的としたフィッシングキットは新しいものではなく、一部のレポートではこれらのキットは2021年以来存在していると述べています。最新のものの一つはEvilTokensで、Sekoia研究者によると2月から流通しています。そして先月、Microsoftは認証トークンを盗む中間者フィッシング詐欺に関する警告を発出し、また別にOAuthプロトコル機能を悪用してURLリダイレクトを操作し、従来のフィッシング防御を回避するキャンペーンについても警告しました。
参入障壁を低下させる
しかし、米連邦捜査局(FBI)は先週の警告で、新しいKali365フィッシング・アズ・ア・サービス(PhaaS)プラットフォームは「参入障壁を低下させ、技術的知識が少ない攻撃者にAI生成フィッシング攻撃文、自動化されたキャンペーンテンプレート、リアルタイム標的個人/エンティティトラッキングダッシュボード、OAuthトークンキャプチャ機能へのアクセスを提供する」と述べています。
脅威アクターによってますます活用されています。たとえば4月24日、セキュリティベンダーのArctic Wolfは、Kali365サービスを使用する脅威アクターによって実行された大規模なデバイスコードフィッシングキャンペーンが組織に影響を与えていることを検出したと述べました。4日後、Gurucul研究者は同様の警告を発出し、新しいKali365キットが脅威アクターの「急速に好まれる兵器となっている」と付け加えました。Kali365とEvilTokensプラットフォームの両方は、従業員を正規のMicrosoftログインページ上でコードを入力するよう騙して、攻撃者がOAuthトークンを盗むことを可能にします。
しかし、Guruculeはチーフ・セキュリティ・オフィサー(CSO)に対し、「[Kali365]は高度に専門化された攻撃モデルへのシフトを示唆しています」と警告しました。研究者は「これは単に孤立して働く1人のハッカーではありません。代わりに、これは本格的な商業活動です。これは世界中の犯罪者の参入障壁を低下させるよう設計されています。欺瞞のための既成インフラを提供することで、このキットは高度な能力を初心者の攻撃者の手に置きます」と指摘しました。
MFAを「チェックリスト項目」として扱うことから脱却する
CSOsはこの警告を、フィッシング検出のレッスンはすべての従業員のセキュリティ意識トレーニングの本質的な部分であるという思い出させるものとして受け取るべきです。
FBIの警告は「[また]多要素認証は保護に存在する必要がある単一のステップではなくなったことを私たちに思い出させます」と、カナダのインシデント対応会社Digital DefenceのCEOであるRobert Beggsは述べています。
「組織は『チェックリスト項目』として持つことを超えて、代わりに多層防御アプローチに焦点を当てる必要があります。組織はMicrosoftのOAuthデバイスコード認証フローを条件付きアクセスを使用してブロックまたは厳密に制限する必要があります。追加の制御には、OAuthトークンの先制的な失効、不正なデバイス登録の監視、および新しいまたは悪意のあるインボックスルールを検出するための監視が含まれます。」
プロフェッショナルな攻撃モデル
Kali365サービスは、テンプレート、管理ダッシュボード、および統合ツールを提供し、それに購読する脅威アクターに対して大規模攻撃を実装するためのスキル障壁を低下させます。 購読は30日間で$250から始まり、365日で$2,000まで上昇します。
Arctic Wolfによると、登録後、Kali365アフィリエイトはAdobe Acrobat Sign、DocuSign、SharePointなどの一般的なエンタープライズサービスになりすましたブランド化されたフィッシング攻撃文を迅速に生成できます。このサービスはモジュール式の攻撃文生成システムを含み、言語ローカライゼーション、プレゼンテーションレイアウト、Microsoftエコシステムになりすまし、および英語、スペイン語、フランス語、ドイツ語、ポルトガル語、イタリア語、オランダ語、日本語、韓国語、中国語、アラビア語、トルコ語、ポーランド語、ロシア語の複数のドキュメント形式を混ぜることで、脅威アクターが数百の異なるバリアントを生成することを可能にします。
Beggsは、AI生成フィッシング攻撃文の使用が、AIがクライアントビジネスに対して適切にトレーニングされ、正しい文化的文脈が供給されていると仮定すると、大規模攻撃において識別およびブロックが困難な信頼できる見た目のドキュメントをもたらすと指摘しました。
購読者は8つのハードコード化されたメールテンプレートを利用できます。件名行は「[名前の余地がある]からのボイスメール」、「署名が必要」、「インボイス #INV,」、「ドキュメント共有」、および「[メールアドレスの余地がある]のアカウント通知」などです。
Arctic Wolfは、初期アクセスを取得した後、脅威アクターがMicrosoft 365内で悪意のあるインボックスルールを作成し、「スパム」、「フィッシング」、「クリック」、「リンク」、「SharePoint」などのキーワードを含むメールを自動的に別のフォルダに移動して読み込み済みのものとしてマークするルールを構成した例も見られたと述べました。この動作はユーザーへのセキュリティ関連通知と警告を効果的に抑制し、脅威アクターがアクセスを維持しながら検出の可能性を減らすことを可能にしました。
デバイスコードモードでは、被害者は実際のブラウザセッションでのみレンダリングするように設計された難読化されたランディングページにリダイレクトされます。ページロード時に、Kali365バックエンドが正規のMicrosoft OAuthデバイスコードを動的に生成します。
FBIによると、攻撃は他の多くのフィッシング詐欺のように機能します:攻撃者は、正規のMicrosoft検証ページへのリンクと生成されたコードを入力する指示を含むメッセージを含むフィッシングメールを送信します。このコードは攻撃者のデバイスが被害者のアカウントにアクセスすることを承認します。Kali365バックエンドは、OAuthアクセストークンと更新トークンをキャプチャし、侵害が検出され、トークンが失効されるまで、脅威アクターに対象者/エンティティのMicrosoft 365アカウント(Outlook、Teams、OneDriveを含む)へのアクセスを与えます。これらのトークンを使用して、攻撃者はパスワードを入力したり、追加のMFAチャレンジを完了したりする必要はありません。
Arctic Wolfが付け加えたように、場合によっては、トークン取得に従って、脅威アクターが認証されたセッションを使用して、被害者のMicrosoft環境内の追加デバイスを登録します。このステップは、侵害されたアカウントに結び付けられた信頼できるデバイスの関連付けを確立することで、初期トークンを超えたアクセスを拡張しました。
軽減策
FBIは警告文で、デバイス認証コードの制限またはブロックがこのスタイルの攻撃を防止または最小限に抑えるのに役立つ可能性があるため、Microsoft 365管理者にデバイスコードフローを制限するよう促しました。また、必要なビジネスプロセスに対して制限された例外を伴い、すべてのユーザーのデバイスコードフローをブロックするための条件付きアクセスポリシーを作成し、条件付きアクセスポリシーを作成する前に正規の依存関係を識別するために既存のデバイスコードフロー使用方法を監査し、ユーザーがコンピューターからモバイルデバイスに認証を転送することを防ぐために認証転送ポリシーをブロックする必要があります。
管理者がデバイスコードフローの使用を完全に制限できない場合、FBIは、ロックアウトを防ぐためにエマージェンシーアクセスアカウントを除外する必要があると述べています。
Cybercrime AnalyticsのCEOで『社会工学によるサイバー犯罪』の著者であるChristopher Kayserは、IT部門は従業員に対して、異常または詐欺的に見える通信をクリックするのに素早くすべきではないことを従業員に強化する方法を見つける必要があると述べました。そして、フィッシング詐欺に見舞われる可能性があるのは普通の従業員だけではなく、彼は指摘しました。資金移動の権限を持つ管理職のより高いレベルは、ビジネスメール侵害(BEC)詐欺の標的になります。
通常、彼が付け加えたように、M365にサインインするとき、ユーザーはコードを入力するよう求められません。コードを要求するメールはIT部門への電話をトリガーする危険信号であるべきであることをユーザーに思い出させる必要があります。
アイデンティティ中心のセキュリティが鍵
Info-Tech Research GroupのチーフサイバーセキュリティアドバイザーであるFritz Jean-Louisは、防御者がアイデンティティ中心のセキュリティにシフトし、フィッシングを主にアイデンティティ侵害リスクとして扱うべきであると述べました。
これは、パスキーまたは他のFIDO2承認されたログイン対策によるフィッシング耐性のあるMFAを実施するだけでなく、セッション制御を強化し、トークンの悪用と疑わしいOAuth活動を含む異常な認証動作を監視することを意味します。
管理者はまた、継続的なアクセス評価を採用し、ポイント・イン・タイム認証を超えて、アクティブなセッション全体でユーザーとデバイスのリスクを動的に評価することで、進化する脅威への実時間対応を可能にする必要があります。
さらに、対応者は活動を測定し、ユーザーに疑わしい行動を報告するよう促し、レポート速度と相互作用パターンなどの人間のテレメトリを検出戦略に組み込むことで、行動信号を活用する必要があります。
Jean-Louisは、管理者がまた、より強力なアウトバウンド監視、自動化されたコンテインメントトリガー、アカウント悪用のより厳密な制御を実装することで、組織のブラスト半径を減らし、横方向の拡散を制限する必要があると述べました。
最後に、彼は管理者がセキュリティ制御を強化し、経営陣、財務、および特権的なITロールのための分離された環境を提供することで、高リスクユーザーとファンクションをセグメント化することを推奨しました。
