「Payroll Pirate」と名付けられた金銭目的のキャンペーンが確認されました。このキャンペーンは、高度なフィッシングと中間者攻撃(AiTM)によるセッションハイジャックを駆使して多要素認証(MFA)を回避し、給与の支払い先を不正に変更します。
この攻撃は中堅・大企業の給与管理ポータルや人事システムを標的にしており、認証情報の窃取、リアルタイムのセッション傍受、そして巧妙なプロファイル変更を組み合わせることで、従来の警報を発することなく資金を抜き取ります。
攻撃の手順は外科的なまでに精密です。攻撃者は給与担当者をフィッシングで標的にし、AiTMプロキシを通じてMFAトークンを奪取したうえで、認証済みセッションをハイジャックします。その後、支払い指示を改ざんしたり不正なベンダーアカウントを追加したりして、最終的には表示上の変更を元に戻すかログを操作することで痕跡を隠滅します。
攻撃者はまず、標的に合わせた偵察とソーシャルエンジニアリングを行います。公開情報、企業の採用ページ、LinkedInを悪用して給与担当者や人事担当者を特定し、フォローアップの要求に信ぴょう性を持たせるため、ディープフェイクに類した音声やSMSを用いたソーシャルエンジニアリングも観測されています。
フィッシングのおとりは正規の給与通知を模倣するように巧妙に作成されており、類似ドメインや短期間のインフラ上でホストされるケースが大半です。
標的が反応すると、AiTMプロキシ(通常はクラウド上でホストされ、リアルタイムの認証チャレンジを中継するフィッシングキット)が、入力されたワンタイムパスコードやWebAuthnアサーションを即座に捕捉します。
BushidoToken Threat Intelによると、リプレイ攻撃とは異なり、AiTMアプローチでは攻撃者が奪取した第二要素をリアルタイムで利用し、リモートエンドポイントから正規のセッションを確立することができます。
有効なセッションを手に入れた攻撃者は素早く動きます。給与管理のワークフローにアクセスし、受取人を新規作成または変更し、口座振込の詳細を書き換え、通常サイクル外の支払いをスケジュールします。
Payroll PirateキャンペーンによるAiTMの活用
攻撃者はタイミングにも規律を持っており、給与支払い直前の時間帯を好み、閾値ベースの監視を回避するために少額送金を活用します。
送金後は、不正な受取人の名前を変更したり、通知メールを削除したり、アプリケーション機能を使って監査証跡をアーカイブするなど、目に見える痕跡を消去するのが一般的です。資金はマネーミュールのアカウントチェーンや暗号資産取引所を経由して送られ、回収や犯人特定を困難にします。
防御側が参考にすべき技術的・運用上の知見がいくつかあります。まず、AiTMフィッシングは多くのMFAを回避します。認証をクライアントやチャネルに暗号的に紐付けていない方式が対象となります。
オリジンを検証してリジデントクレデンシャルを要求するWebAuthn実装は、OTPベースのフローと比較してこのリスクを軽減します。
第二に、リアルタイムのセッションハイジャックは、高リスク操作に対するステップアップ認証の必要性を浮き彫りにしています。受取人の口座情報の変更や通常サイクル外の支払い開始には、初回ログイン以上の追加認証を求めるべきです。
第三に、検知は認証失敗の指標にとどまらず、行動・トランザクションの異常に目を向ける必要があります。具体的には、機密操作を開始する異常なデバイスフィンガープリント、地理的に離れたIPからの同時セッション、ログイン直後の給与設定への急速な変更などが検知対象となります。
対策は、設定・検知・プロセスの強化にわたります。サポートされている場合はフィッシング耐性のある認証を強制し、オリジン紐付きのWebAuthnを有効にし、管理者にはハードウェアキーを必須とします。
デバイスシグナルが一致しないセッションにフラグを立てるかブロックするため、条件付きアクセスとジオフェンシングルールを実装します。給与変更にはステップアップ制御を適用し、高リスクトランザクションには二重承認ワークフローを導入し、改ざんを可視化するための改ざん不可能な監査ログも記録します。
AiTMの指標(予期しない302リダイレクト、TLS証明書チェーンの不一致、認証フロー内の中間ドメイン)を継続的に監視し、給与関連ロールに紐付く異常なアカウントアクティビティを追跡することも重要です。
この情報は、ランサムウェアツールマトリクス(RTM)およびランサムウェア脆弱性マトリクス(RVM)に関する広範な研究とも関連しています。研究者は、検知から標的を絞ったハンティングとパッチ適用へ移行する際に、これらを参照することをお勧めします。
最近のRTM/RVMへの追加では、TheGentlemen、DragonForce、WarLockといったグループのプロファイリングが行われており、多様な脅威アクターが正規ツールを転用し、エッジデバイスを悪用し、制御を回避するためのBYOVD技術を展開している実態が明らかになっています。
防御側は、それらのプロファイルに記載された戦術とツールセットを給与管理特有の検知ユースケースに対応付け、インターネットに公開された管理ツールの修正を優先すべきです。
即座の対策として、給与担当管理者へのフィッシング耐性のあるMFA導入を優先し、支払い変更にはステップアップ検証を適用し、認証ログでAiTM型のセッション異常のハンティングを開始します。
これらの手順をRTMおよびRVMのグループプロファイルと組み合わせることで、Payroll Pirateのようなキャンペーンへのエクスポージャーを大幅に低減し、急速に進化する認証情報傍受の手口に対するレジリエンスを高めることができます。
翻訳元: https://gbhackers.com/payroll-pirate-campaign-uses-aitm/
