Kali365 Phishing-as-a-Service(PhaaS)キャンペーンは、当初の対象範囲を急速に超え、Okta、Xerox DocuShare、そしてロシア国営のMAXメッセンジャーのユーザーへと攻撃対象を拡大しています。
Kali365はもともと、MicrosoftのOAuth 2.0デバイス認可フローを悪用してEntra IDトークンを窃取するためのツールキットとして記録されていましたが、現在では複数ブランドを標的とする大規模な操作へと発展しています。
デバイスコード認証を悪用することで、脅威アクターは被害者のパスワードを必要とすることなく、多要素認証(MFA)を回避し、Microsoft 365のアクセストークンを取得できます。
最新の脅威インテリジェンスによると、Kali365の背後にいる運営者はインフラを大幅に拡張しています。
このキャンペーンには現在、ライブのコマンド&コントロール(C2)パネル、Telegramを通じた積極的なアフィリエイト募集、そして世界中のコンシューマー・エンタープライズ向けプラットフォームへの意図的な侵害が含まれています。
研究者らは最近、稼働中のKali365フィッシングページから埋め込まれたポーリングロジックを抽出し、運営者のバックエンドの仕組みを明らかにしました。
悪意のあるJavaScriptは3秒ごとに攻撃者のC2パネルへ問い合わせを行い、OAuthトークンの窃取が成功したかどうかを検知し続けます。
この調査によりC2の主要エンドポイントが判明しました。これはアフィリエイト向けのシンプルなサインインポータルです。C2のAPIサブドメインで提供されるTLS証明書を解析することで、脅威ハンターはユニークなSHA1フィンガープリントを特定しました。
このフィンガープリントをパッシブなホスト応答テレメトリと照合した結果、運営者の内部ブランドラベルである「K365 Control」が判明しました。
これらのページに紐づく特定のHTTPレスポンスバナーハッシュを起点に調査を進めると、126台の悪意あるホストから成る大規模クラスターが浮かび上がりました。
これらのホストは個別の脅威ではなく、共通のHTMLテンプレートを共有する統一されたフィッシングインフラです。このクラスターは多様な正規サービスを装い、認証情報の窃取を行っています。
Kali365の標準的なエンタープライズ標的からの顕著な逸脱として、MAXメッセンジャーを狙ったアカウント乗っ取りキャンペーンが確認されています。
このロシア製メッセージングプラットフォームは1日あたり8,000万人以上のアクティブユーザーを誇り、脅威アクターにとって大規模な拡散機会となっています。
別のドメインで運用されるこの特定のキットは、「賞品の受け取り」を装った偽のルアーを使用し、被害者にロシアの携帯電話番号を入力させます。Arctic Wolfが報告しています。
この攻撃フローは、SMSベースのワンタイムパスワード(OTP)と2FAの両方を、一連のシームレスな操作で突破します。
被害者はMAXメッセンジャーから正規のログインコードを要求するよう誘導され、2FAパスワードとともにそのコードをフィッシングページに直接入力させられます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的に無害化(例:[.])されています。再活性化はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/kali365-targets-okta-messenger/
