GhostwriterまたはFrostyNeighborとして広く知られるUNC1151が、リアルタイムのWebSocketリレーを利用してSMSおよびOTPベースの多要素認証(MFA)を突破するクレデンシャル・フィッシング技術をさらに高度化させています。
この手法は、ベラルーシの政治家ユーリ・フバレビッチ氏と複数のウクライナのポータルサイトを標的にした最近のキャンペーンで確認されました。Censysによるピボット分析では、インフラが数十のドメインとIPにわたることが判明しており、孤立した政治的攻撃ではなく、広範かつ継続的なクレデンシャル収集作戦であることが示されています。
フィッシングの連鎖は、「不審なアクティビティ」を主張するGmailに似せた巧妙な誘い文句から始まり、ターゲットにアカウントの確認を促します。
リンクをクリックした被害者は、侵害されたウクライナのサイトを経由し、最終的にaccount[.]check-profile[.]digitalなどのドメインでホストされたフィッシングページに誘導されます。
これらのページはリアルなGoogleログインUIを模倣しています。被害者がクレデンシャルを入力すると、クライアント側のJavaScriptがwss://account-emails-verification[.]cc[.]cd/wsのようなバックエンドエンドポイントへのWebSocket接続を通じて、入力内容をリアルタイムで転送します。
このライブリレーは、被害者が入力したパスワードや、SMSワンタイムコード・認証アプリのOTPといった第2要素をリアルタイムで取得します。これにより、攻撃者は被害者が対応したりアクセスを失効させたりする前に、取得したクレデンシャルを使って正規のアカウントに即座にログインできます。
技術的には、WebSocketリレーは2つの防御上のギャップを克服しています。第1に、本来は非同期的なクレデンシャル収集(SMSで送られたコードが取得できない場合がある)を同期的なインターセプトに変換します。偽ページに入力されたコードは、攻撃者の制御するサーバーに即座に送信されます。
第2に、リアルタイムのセッションハイジャックを可能にします。被害者がフィッシングページにとどまっている間に、攻撃者が取得したユーザー名・パスワード・第2要素を正規のサービスに即座に送信してセッションを確立できるためです。
フォームのアクションURLやクレデンシャル送信ドメインのブロックリストに基づく単純なフィッシング対策のヒューリスティックは、ページが許可されたwss://エンドポイント経由でキーストロークをリレーし、インフラをCDNの背後に隠している場合には効果が低くなります。
SMSを回避するWebSocketリレー
CensysとResident.NGOの分析により、攻撃者の帰属特定と活動妨害に役立つ作戦上の技法が明らかになりました。攻撃者はmail-secure-login[.]digital、check-account[.]digital、account-protection-team[.]icuなど多数の類似ドメインをホストし、Bunny CDNやCloudflareを使用しているにもかかわらず、一時的に露出したオリジンIPにそれらのTLS証明書を配置していました。
account[.]check-profile[.]digitalの証明書の1つは45.194.44.44(Datagear、ポーランド)に解決可能であり、CDNの背後にあるオリジンが露見しました。
同じIPブロックと少数の他のホストは、ポート3001/3002で「VPS2 endpoint only for WebSocket」という異常なHTTPレスポンスを返しており、WebSocketベースのバックエンドの存在と一致していました。
Censysのピボット分析では、複数のIPにわたって同一のレスポンスボディとリンクされた証明書が発見され、多くのフィッシングドメインで使用されている集中型バックエンドインフラの存在が証明されました。
このキャンペーンでは、i-ua[.]cc[.]cd(I.UA)、bigmir-net[.]cc[.]cd(bigmir.net)、meta-ua[.]cc[.]cd(META.UA)、mail-alert[.]cc[.]cdなど、人気のあるウクライナのポータルサイトも偽装していました。
Resident.NGOのフバレビッチ氏への誘い文句に関するレポート、CERT Polskaのアドバイザリ、ESETの分析は、この攻撃者がポーランド・ベラルーシ・ウクライナへの標的設定を継続していること、そして2020年以降にわたるメディア侵害とクレデンシャル窃取の実績を裏付けています。
防御側はこのリアルタイムインターセプトベクターをブロックする対策を優先すべきです。より強力な対策としては、FIDO2/WebAuthnのフィッシング耐性認証器の強制適用、クレデンシャルだけでなくデバイスシグナルを要求する条件付きアクセス、新規セッション付与時の即時異常検知(位置情報・デバイスフィンガープリント)と不審なフローへの自動MFAプッシュブロックの組み合わせが挙げられます。
インフラ面では、防御側とレジストラはTLS証明書の大量発行パターン、非典型的なオリジンサーバー証明書の配置、非標準ポートでの異常なサービスレスポンスを監視すべきです(ポート3002のWebSocketシグネチャが有効であることが本件で証明されています)。
脅威ハンターはCensysの証明書ピボットを再現し、「VPS2 endpoint only for WebSocket」のボディハッシュを検索することで、追加の攻撃者インフラを発見できます。
侵害の痕跡(IoC)
| IPアドレス | 証明書のSHA256 | ホスト名 |
| 45.197.133[.]104 | 2434e1a88cf2effa13fc4eb335560e3cf49790ddd4bd0df7e100de9867a19748 | mail[.]service-support[.]digital |
| 6542f8fa3e1f00a3c0e9994c34d8b49d2c3d2684cf73c23a0b1030daaaaa4786 | accounts-verification[.]cc[.]cd | |
| cb5230b57589132f63441244183f24ce727d1a2f5454d7636a3548207a5859cc | mail[.]account-check[.]digital | |
| 700ddccaa2aa1c4871f23cc59ba6aefdd7b11f4136f578fd3f40c8d2c762b37c | verification-service[.]cc[.]cd | |
| 84e7c3cfba6b368f75d4124bcf750dce96e71448924aa6b110c08d0d24da6885 | verification-credentials[.]cc[.]cd | |
| 45.194.44[.]44 | c30ccd8d66ea757121c036e76408e8ee9fe122bf4d048e2744abf56ecdd8e019 | account-email-verification[.]cc[.]cd |
| e86d364d794c7a42d122fdedbddb60b14c815a5708b5b3f4a622d1f66fb3dbba | mail-security-login[.]digital | |
| 3ea96a0086f0540bcd84820a8f65ee6c6df41979497e4291ba8ac59601535d91 | mail-secure-login[.]digital | |
| 3a2cd6a8e2c76c91aa04260df46a95df0e9799100d23cd32fdee9415bf1b3971 | check-account[.]digital | |
| 7a1a3a5f31df23053bfd5a03a63f19dd28561a9e41122d26a5413f46e9160664 | account-emails-verification[.]cc[.]cd | |
| 4b80681cd444cf9679d7e4d715489f6ddbe4580a9d110bd1952e54e8193afefd | account[.]check-profile[.]digital | |
| 45.194.44[.]46 | 0cb6bf1fd758f78f7e78baf4df85b5dbd236232011ed4eed685df852ab70a19a | mail[.]account-security[.]digital |
| b2fd49c1a72db79ca3be5a6370a353ea6105697b20017606572697c98c3b9629 | mail-alerts[.]cc[.]cd | |
| 9280780cde1623fcb712b3d0f34cacedb77973dc8cac7f01c5338fe6fd22ad5c | mail-verification[.]cc[.]cd | |
| b2fd49c1a72db79ca3be5a6370a353ea6105697b20017606572697c98c3b9629 | i-ua[.]cc[.]cd | |
| eefc039a84cb1276a8b76e09150d188de3aa262e7c7149e8a3cd1b07eb868460 | bigmir-net[.]cc[.]cd | |
| 111.88.74[.]246 | 5778fb76f3e1024cf3b6b8b298c4ac3607c869d5516ba7f8b274e9709fbfd0a5 | account-protection-team[.]icu |
| a29de1229b408e47af2a926bce7db5c6bc5d9208f1fc10226748dd65071e064e | support-accounts-checker[.]cc[.]cd | |
| bd90a95c7b698c7680c3c64eb578cdda686dd33029e60ca74b8a67502bab72e9 | account-protection-support[.]icu |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファング(元の形式に戻す操作)してください。
翻訳元: https://gbhackers.com/websocket-relay-to-bypass-sms/