フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Kali365」が、その活動範囲を大幅に拡大させています。Microsoft 365のトークン窃取にとどまらず、Oktaのシングルサインオン(SSO)環境や、ロシアで急速に普及するMAX Messengerプラットフォームをも標的とするようになりました。
新たな脅威インテリジェンスにより、集中管理されたインフラ、リアルタイムのトークン監視、地域を絞り込んだキャンペーンを備える、より高度で多ブランド対応のフィッシングエコシステムの実態が明らかになりました。
Kali365はこれまでも、MicrosoftのOAuth 2.0デバイス認可フローを悪用してEntra IDのアクセストークンを窃取する手口として記録されてきました。
この手口ではユーザー名やパスワードを直接奪うのではなく、攻撃者は被害者を正規のデバイスログインフローに誘導します。
認証が完了すると、トークンは攻撃者のアプリケーションに直接発行されるため、多要素認証を実質的に回避しながら、企業環境への継続的なアクセス権を取得することができます。
最新の分析によると、同一の攻撃者がこの手法をより広範なフィッシングキャンペーンへと発展させていることが判明しました。
研究者らは、securehubcloudドメイン上で稼働中のコマンド&コントロール(C2)パネルを発見しました。攻撃者はこのパネルを通じて、トークン取得の状況をリアルタイムで監視しています。
フィッシングページはバックエンドのインフラに対して継続的にポーリングを行い、被害者が認証を完了したタイミングや、アクセストークンが正常に発行されたタイミングを確認しています。
TLS証明書のフィンガープリントとHTTPレスポンスのシグネチャを活用したインフラの追跡調査により、同一のフィッシングキットを稼働させる126台の悪意あるホストが集中して存在していることが明らかになりました。
これらのドメインは、Okta SSOポータルやMicrosoft Outlook、AWS風のエンドポイント、Xerox DocuShareといったエンタープライズプラットフォームなど、幅広いサービスを偽装しています。
また、Mail.ruやYandex Disk、Odnoklassnikiといったロシアのデジタルサービスも集中的に標的とされており、意図的な地域ターゲティングが実施されていることが示されています。
最も注目すべき展開の一つが、Kali365の注目すべき動向であるコンシューマー向けメッセージングプラットフォーム、特にMAX Messengerへのシフトです。
2025年にロシア政府の支援を受けてサービスを開始したMAXは、急速に成長し、現在1億1,000万人を超えるユーザーを抱えています。攻撃者は現在、賞品確認ワークフローに見せかけた専用のフィッシングキットを通じて、このユーザーベースを悪用しています。
この攻撃では、被害者にロシアの電話番号の入力を求め、その後MAXから正規のワンタイムパスワード(OTP)が送信されます。
Kali365 PhaaS、Oktaへの拡大
Arctic Wolfの報告によると、フィッシングページはさらにユーザーをOTPの入力に誘導し、2要素認証が有効な場合はそのパスワードも入力させます。これにより攻撃者は1回のやり取りだけでアカウントを完全に乗っ取り、メッセージ、連絡先、保存データへのアクセスが可能になります。
このフィンガープリントをパッシブなホストレスポンステレメトリに照会したところ、既知の3つの *.securehubcloud[.]com サブドメイン(api.、boss.、panel.)だけでなく、それらのホスティングIPや、繰り返し確認されたページタイトルのフィンガープリント「K365 Control」も浮かび上がりました。
認証情報の窃取は、「NovosibyrskyMoneyBot」と識別された組み込みのTelegramボットを通じて自動化されており、盗まれたデータはリアルタイムで受信されます。
この仕組みは、フィッシングの配信、認証情報の収集、データの窃取をシームレスなワークフローに統合したもので、キャンペーンの高い運用効率を示しています。
埋め込みピクセルなどの追加トラッキング機能により、オペレーターがキャンペーンのパフォーマンスを測定していることが示唆されており、アフィリエイト型PhaaS モデルと一致しています。
アカウント名に含まれる「novosibirsk」(ノボシビルスクはロシアの都市)+「money」+「sova」(フクロウ)という単語と、偽の賞品請求を装うソーシャルエンジニアリングの手口は、Telegramで長年にわたって活発に展開されている詐欺の定番スタイルに合致しています。
感染の拡散モデルがさらに脅威を増大させています。MAXアカウントが乗っ取られると、攻撃者はそのアカウントを利用して被害者の連絡先にフィッシングリンクを配布し、信頼できる通信パターンを模倣します。
これにより、長年続くTelegramベースの詐欺に似た自己持続型の感染ループが生み出されますが、膨大なユーザーベースを持つ新たなプラットフォームに適応した形となっています。
確認されたすべてのホスト間で、HTMLテンプレート、JavaScriptのポーリングロジック、識別可能なレスポンスシグネチャが統一されて再利用されていることから、複数のフィッシング拠点を支える集中管理型バックエンドの存在が示されています。
総じて、Kali365の拡大は、現代のPhaaS運用が企業の認証情報窃取を超え、企業のアイデンティティシステムと大規模なコンシューマープラットフォームの両方を標的とするハイブリッドキャンペーンへと進化していることを示しています。
これは、Kali365が単発のキャンペーンではなく、スケーラブルなマルチテナント型フィッシングプラットフォームとして運営されているという評価を裏付けるものです。
OAuthの悪用、リアルタイムインフラ、クロスプラットフォームターゲティングを組み合わせた手口は、防御側にとってますます深刻な課題となっています。特に、こうしたキットが洗練度の低い脅威アクターへの参入障壁を下げ続けているため、その対策はさらに困難になっています。
翻訳元: https://gbhackers.com/kali365-phaas-expands-to-okta/
