出典: babar ali 1233 / Shutterstock
Microsoft 365アカウントに対する多要素認証(MFA)の回避を支援するサービスとして注目を集めていたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Kali365」の運営者が、その機能と標的リストを大幅に拡張しています。
今週公開されたレポートの中で、Arctic Wolfは、Kali365がMicrosoft専用のフィッシングキットから、AWS、Okta、Xerox DocuShare、さらにいくつかのロシアのオンラインサービスにまたがるアカウント侵害プラットフォームへと進化を遂げたと報告しています。中でも特筆すべきは、ロシア政府が国家公式メッセージサービスとして推進している国家後援のメッセージングプラットフォーム「MAX Messenger」です。同サービスのユーザー数は8,000万人を超えています。
標的範囲の危険な拡大
Kali365がMAX Messengerをはじめとするロシアのオンラインサービスへと標的を広げたことは、「既存の欧米企業ターゲットに加え、ロシア語圏の消費者向けインターネットプラットフォームへの意図的かつ一貫した注力」を示していると、Arctic Wolfは指摘しています。「MAXアカウントの乗っ取りを拡散手段として活用できるフィッシング攻撃者は、ロシア語圏で最大級のメッセージング基盤にアクセスできることになります。」
Kali365は近年、デバイスコードフィッシングキットとして最も注目される存在の一つとなっています。デバイスコードフィッシングとは、スマートテレビやプリンターなどフルブラウザやキーボードを持たないデバイスがログインに別デバイスを必要とする際の認証ワークフローを悪用した手口です。たとえば、RokuやApple TVのようなストリーミング端末がスマートテレビ画面にコードを表示し、ユーザーがスマートフォンやパソコンでそのコードを入力することでログインを完了し、2台のデバイスを連携させる仕組みがこれにあたります。
デバイスコードフィッシング攻撃では、攻撃者が正規のOAuth 2.0デバイス認証リクエストを生成し、たとえばOneDriveの共有ファイルを装ったフィッシングメールやセキュリティ確認を求める画面に見せかけることで、被害者を正規のログインページへ誘導して関連コードを入力させます。被害者が認証を完了し、必要なMFA手順を済ませると、サービス側——Kali365の場合、当初はMicrosoft 365——が攻撃者のセッションにアクセストークンを発行し、攻撃者は被害者の認証情報を入手することなくアカウントへのアクセス権を取得します。このような攻撃では、被害者が知らないうちに攻撃者に代わって認証プロセスを完了させてしまうため、MFAも侵害を防ぐことができません。
こうした攻撃の巧妙さを受け、FBIは先月、Kali365に関する公式注意喚起を発表し、攻撃の仕組みを解説しました。「Kali365は参入障壁を大幅に引き下げ、技術力が低い攻撃者でもAI生成フィッシング誘導コンテンツ、自動化されたキャンペーンテンプレート、リアルタイムの個人・組織追跡ダッシュボード、OAuthトークン取得機能を利用できるようにしています。」
業種・地域を超えて拡大する脅威
Arctic Wolfによるこのオペレーションの分析から、Kali365はここ数週間でさらに大きな脅威となっていることが明らかになりました。同社の研究者たちはプラットフォームの稼働中のC2(コマンド&コントロール)インフラを特定し、そこから5月上旬〜下旬にかけて活動していた126台の悪意あるホストのクラスターを突き止めました。これらのホストはすべて同一のキットを使用しており、Microsoft Outlook、Microsoft Live、Okta SSO、Xerox DocuShare、ドイツのメールプロバイダーGMX、Amazon Web Servicesの命名規則、そしてMail.ru、Yandex Disk、SNSのOdnoklassnikiといった主要なロシアのオンラインサービスなど、幅広いプラットフォームを装っていることが確認されました。模倣されたプラットフォームの多様さは、Kali365がM365トークン窃取に特化したプラットフォームから、複数の地域にわたる企業組織に脅威をもたらす、より広範な認証情報窃取プラットフォームへと進化したことを示しています。
「Arctic Wolfは、このキャンペーンで確認された手口を含む不審な活動を迅速に識別・報告できるスキルをユーザーが身につけるために、包括的なセキュリティ意識向上トレーニングの実施を強く推奨します」と、同社は述べています。また、Kali365に関連する悪意ある活動を検知するために組織が取れる具体的な対策も、レポートの中で紹介しています。
Kali365は、近年脅威アクターに利用可能となっている複数のデバイスコードフィッシングキットの一つです。他の例としては、Tycoon2FA、Venom、CYB3Rなどが挙げられます。Push Securityの最近のレポートでは、デバイスコードフィッシングの活動が「急激に急増」しており、現在少なくとも14種類のキットがインターネット上で確認されていることが報告されています。その中には、デバイスコード機能を追加した既存のフィッシング・アズ・ア・サービスプラットフォームもあれば、新たに登場したものもあります。
「セキュリティチームは、デバイスコード認証が一般的に使用される複数のアプリ、特に開発者や技術系ユーザーが多く利用するアプリにおいて、デバイスコードフィッシングがもたらすリスクを十分に認識する必要があります」と、同社は警告しています。「理想的にはデバイスコードログインをシンプルにブロックするのが最善策ですが、環境によっては深刻な業務支障を招きかねず、そもそも必要なツールを提供していないアプリも存在します。」
翻訳元: https://www.darkreading.com/cyber-risk/fbi-flagged-phishing-kit-kali365-expands-its-reach
