新たな「ペイロール・パイレーツ」攻撃が、複数の業界にまたがって静かに給与を奪い続けています。Security Risk Advisors(SRA)は最近、監視対象の複数クライアントネットワーク内で活発な侵害活動を検知しました。この攻撃の特徴は、マルウェアを一切使用しない点です。代わりにMicrosoft 365のライブセッションを乗っ取り、多要素認証を完全にバイパスします。
SRAの調査結果
SRAによれば、SRAは監視対象の複数のクライアント環境にわたって、活発な「ペイロール・パイレーツ」侵害キャンペーンを確認しました
とのことです。また、この活動はMicrosoftが追跡しているStorm-2755およびStorm-2657というクラスターと一致しています。SRAは医療、フードサービス、製造業のクライアントでこのパターンを観測しました。一方、Microsoftの独自レポートでは、SEOポイズニングやマルバタイジングを通じてカナダの従業員が標的にされていることが指摘されています。
攻撃の仕組み
このペイロール・パイレーツ攻撃は、中間者攻撃によるセッション窃取から始まります。まず攻撃者が認証済みのMicrosoft 365セッションを盗み出し、その盗んだトークンを再利用してMFAを完全に回避します。その結果、パスワードの推測もマルウェアの展開も必要としません。
人事・給与担当者の特定
次に攻撃者はMicrosoft Graph APIを利用します。レポートによれば、各環境で観測されたGraphの偵察クエリはほぼ同一で、payroll、pay、hr、human、resources、support、info、finance、account、adminといったキーワードに一致する属性を持つユーザーを標的にしていた
とのことです。こうして攻撃者は財務・人事部門の標的リストを数分以内に構築します。
偵察から給与詐取へ
標的リストが揃うと、攻撃者は支払い詐欺へと移行します。具体的には、人事担当者に直接ソーシャルエンジニアリングを仕掛けるか、Workdayなどのプラットフォーム内の銀行口座情報を改ざんします。こうして給与の振込先が、攻撃者の管理下にある口座へと静かに変更されます。エンドポイントにマルウェアが存在しないため、従来のウイルス対策ツールはまったく反応しません。
示唆に富むインフラのパターン
興味深いことに、このキャンペーンはステージに応じてインフラを使い分けています。最初のサインイン試行は米国の携帯キャリアのIPアドレス空間から行われますが、Graphの列挙トラフィックはカナダの住宅用ISPに切り替わります。この使い分けは、住宅用プロキシインフラが作戦を支えていることを示しています。
検出が困難な理由
この攻撃チェーンはクラウドとIDレイヤーにのみ存在します。そのため、エンドポイント検出ツールではまったく捉えられません。防御側に必要なのは、Microsoft Entraのサインインログと、Graphアクティビティログです。SRAはこれらのログをSIEMまたはデータレイクに即時転送することを推奨しています。
推奨される防御策
組織はFIDO2パスキーやWindows Hello for Businessなど、フィッシング耐性を持つMFAを優先すべきです。また、これらの方式は利用可能にするだけでなく、条件付きアクセスポリシーを通じて強制することが重要です。侵害されたアカウントのアクティブセッションは速やかに失効させてください。さらに、アプリケーションの同意許可も監査してください。OAuthの永続性はパスワードリセット後も維持される場合があります。
HRプラットフォームの徹底監視
WorkdayなどのHRシステムをセキュリティ監視基盤に接続してください。支払い情報の変更、MFAの新規登録、不審な受信トレイのルールにはアラートを設定します。銀行口座や振込に関するメッセージを非表示にするルールは、給与詐欺が進行中であるサインであることが多いです。まとめると、このペイロール・パイレーツ攻撃への対策においては、IDシグナルを注意深く監視する組織が優位に立てます。
翻訳元: https://meterpreter.org/payroll-pirate-aitm-attack/
