給与システムは、銀行口座情報がひっそりと書き換えられ、通常の給与振込が犯罪者への送金へと姿を変えるまで、ほとんど注目されることがありません。BushidoToken Threat Intelの研究者たちは、「Payroll Pirate」と名付けられた金銭目的の新たな攻撃キャンペーンの詳細を明らかにしました。この攻撃では、多要素認証を完全に回避し、認証済みセッションをハイジャックすることで給与の支払先を不正に変更します。
標的となる組織
このキャンペーンは、中規模・大規模企業の給与管理ポータルや人事システムを標的としています。攻撃はまず念入りな偵察から始まり、犯罪者はオープンソース情報、企業の採用ページ、LinkedInなどを活用して経理・人事担当者を特定します。その後、被害者には実在の給与サービスからの正規通知を装ったフィッシングメールが送りつけられます。さらに、要求に信ぴょう性と緊迫感を持たせるために、音声メッセージやテキストメッセージを組み合わせるケースもあります。
攻撃の核心:AiTM技術
このキャンペーンの最大の特徴は、AiTM(Adversary-in-the-Middle)技術の活用です。攻撃者は従業員と正規サービスの間にフィッシング中継サーバーを設置し、ワンタイムコード、MFA確認、ログイン認証情報をリアルタイムで攻撃者の管理するインフラに通過させます。この手法は、盗んだコードを単に再利用するものとは根本的に異なり、攻撃者は自身のリモートデバイスから即座に完全有効なセッションを確立することができます。技術的な詳細については、BushidoTokenによるキャンペーン調査レポートをご参照ください。
アクセス後の給与支払先の不正変更
Payroll Pirateのオペレーターは、侵入後に素早く行動します。支払い情報の改ざん、不正な受取人の追加、給与振込に紐付く銀行口座情報の変更、あるいは予定外の送金指示の実行といった操作が行われます。研究者によれば、攻撃者は給与支払い直前の時間帯を好んで狙い、単純なしきい値ベースの監視ルールをすり抜けるために意図的に少額の送金を行う傾向があるとのことです。
証拠隠滅工作
送金が完了すると、攻撃者は痕跡の消去に取り掛かります。不正な受取人名の変更、通知の削除、アプリケーションの組み込み機能を使ったログのアーカイブ、そして一部の設定を元の状態へ復元するといった作業が行われます。盗まれた資金はその後、マネーミュールのチェーンや暗号資産プラットフォームを経由して移動されるため、資金の回収や犯人の特定は著しく困難になります。
組織が取るべき防御策
レポートの著者たちは、リスクを低減するために標準的なMFAにとどまらない対策を推奨しています。給与システムの管理者は、フィッシング耐性のある多要素認証を採用し、ハードウェアセキュリティキーを活用し、支払い情報を変更する際には追加認証を義務付け、高リスクな取引には二重承認を導入すべきとされています。また、組織は改ざん不能な監査ログを維持するとともに、環境内でのAiTMアクティビティの兆候を積極的に監視することも重要です。
翻訳元: https://meterpreter.org/payroll-pirate-aitm-phishing-campaign/
