GhostwriterハッカーがリアルタイムWebSocketリレーを悪用してSMSおよびOTP多要素認証を回避

GhostwriterまたはFrostyNeighborとして広く知られるUNC1151が、リアルタイムのWebSocketリレーを利用してSMSおよびOTPベースの多要素認証(MFA)を突破するクレデンシャル・フィッシング技術をさらに高度化させています。

この手法は、ベラルーシの政治家ユーリ・フバレビッチ氏と複数のウクライナのポータルサイトを標的にした最近のキャンペーンで確認されました。Censysによるピボット分析では、インフラが数十のドメインとIPにわたることが判明しており、孤立した政治的攻撃ではなく、広範かつ継続的なクレデンシャル収集作戦であることが示されています。

フィッシングの連鎖は、「不審なアクティビティ」を主張するGmailに似せた巧妙な誘い文句から始まり、ターゲットにアカウントの確認を促します。

リンクをクリックした被害者は、侵害されたウクライナのサイトを経由し、最終的にaccount[.]check-profile[.]digitalなどのドメインでホストされたフィッシングページに誘導されます。

これらのページはリアルなGoogleログインUIを模倣しています。被害者がクレデンシャルを入力すると、クライアント側のJavaScriptがwss://account-emails-verification[.]cc[.]cd/wsのようなバックエンドエンドポイントへのWebSocket接続を通じて、入力内容をリアルタイムで転送します。

このライブリレーは、被害者が入力したパスワードや、SMSワンタイムコード・認証アプリのOTPといった第2要素をリアルタイムで取得します。これにより、攻撃者は被害者が対応したりアクセスを失効させたりする前に、取得したクレデンシャルを使って正規のアカウントに即座にログインできます。

技術的には、WebSocketリレーは2つの防御上のギャップを克服しています。第1に、本来は非同期的なクレデンシャル収集(SMSで送られたコードが取得できない場合がある)を同期的なインターセプトに変換します。偽ページに入力されたコードは、攻撃者の制御するサーバーに即座に送信されます。

第2に、リアルタイムのセッションハイジャックを可能にします。被害者がフィッシングページにとどまっている間に、攻撃者が取得したユーザー名・パスワード・第2要素を正規のサービスに即座に送信してセッションを確立できるためです。

フォームのアクションURLやクレデンシャル送信ドメインのブロックリストに基づく単純なフィッシング対策のヒューリスティックは、ページが許可されたwss://エンドポイント経由でキーストロークをリレーし、インフラをCDNの背後に隠している場合には効果が低くなります。

SMSを回避するWebSocketリレー

CensysとResident.NGOの分析により、攻撃者の帰属特定と活動妨害に役立つ作戦上の技法が明らかになりました。攻撃者はmail-secure-login[.]digital、check-account[.]digital、account-protection-team[.]icuなど多数の類似ドメインをホストし、Bunny CDNやCloudflareを使用しているにもかかわらず、一時的に露出したオリジンIPにそれらのTLS証明書を配置していました。

account[.]check-profile[.]digitalの証明書の1つは45.194.44.44(Datagear、ポーランド)に解決可能であり、CDNの背後にあるオリジンが露見しました。

同じIPブロックと少数の他のホストは、ポート3001/3002で「VPS2 endpoint only for WebSocket」という異常なHTTPレスポンスを返しており、WebSocketベースのバックエンドの存在と一致していました。

Censysのピボット分析では、複数のIPにわたって同一のレスポンスボディとリンクされた証明書が発見され、多くのフィッシングドメインで使用されている集中型バックエンドインフラの存在が証明されました。

このキャンペーンでは、i-ua[.]cc[.]cd(I.UA)、bigmir-net[.]cc[.]cd(bigmir.net)、meta-ua[.]cc[.]cd(META.UA)、mail-alert[.]cc[.]cdなど、人気のあるウクライナのポータルサイトも偽装していました。

Resident.NGOのフバレビッチ氏への誘い文句に関するレポート、CERT Polskaのアドバイザリ、ESETの分析は、この攻撃者がポーランド・ベラルーシ・ウクライナへの標的設定を継続していること、そして2020年以降にわたるメディア侵害とクレデンシャル窃取の実績を裏付けています。

防御側はこのリアルタイムインターセプトベクターをブロックする対策を優先すべきです。より強力な対策としては、FIDO2/WebAuthnのフィッシング耐性認証器の強制適用、クレデンシャルだけでなくデバイスシグナルを要求する条件付きアクセス、新規セッション付与時の即時異常検知(位置情報・デバイスフィンガープリント)と不審なフローへの自動MFAプッシュブロックの組み合わせが挙げられます。

インフラ面では、防御側とレジストラはTLS証明書の大量発行パターン、非典型的なオリジンサーバー証明書の配置、非標準ポートでの異常なサービスレスポンスを監視すべきです(ポート3002のWebSocketシグネチャが有効であることが本件で証明されています)。

脅威ハンターはCensysの証明書ピボットを再現し、「VPS2 endpoint only for WebSocket」のボディハッシュを検索することで、追加の攻撃者インフラを発見できます。

侵害の痕跡(IoC)

IPアドレス 証明書のSHA256 ホスト名
45.197.133[.]104 2434e1a88cf2effa13fc4eb335560e3cf49790ddd4bd0df7e100de9867a19748 mail[.]service-support[.]digital
6542f8fa3e1f00a3c0e9994c34d8b49d2c3d2684cf73c23a0b1030daaaaa4786 accounts-verification[.]cc[.]cd
cb5230b57589132f63441244183f24ce727d1a2f5454d7636a3548207a5859cc mail[.]account-check[.]digital
700ddccaa2aa1c4871f23cc59ba6aefdd7b11f4136f578fd3f40c8d2c762b37c verification-service[.]cc[.]cd
84e7c3cfba6b368f75d4124bcf750dce96e71448924aa6b110c08d0d24da6885 verification-credentials[.]cc[.]cd
45.194.44[.]44 c30ccd8d66ea757121c036e76408e8ee9fe122bf4d048e2744abf56ecdd8e019 account-email-verification[.]cc[.]cd
e86d364d794c7a42d122fdedbddb60b14c815a5708b5b3f4a622d1f66fb3dbba mail-security-login[.]digital
3ea96a0086f0540bcd84820a8f65ee6c6df41979497e4291ba8ac59601535d91 mail-secure-login[.]digital
3a2cd6a8e2c76c91aa04260df46a95df0e9799100d23cd32fdee9415bf1b3971 check-account[.]digital
7a1a3a5f31df23053bfd5a03a63f19dd28561a9e41122d26a5413f46e9160664 account-emails-verification[.]cc[.]cd
4b80681cd444cf9679d7e4d715489f6ddbe4580a9d110bd1952e54e8193afefd account[.]check-profile[.]digital
45.194.44[.]46 0cb6bf1fd758f78f7e78baf4df85b5dbd236232011ed4eed685df852ab70a19a mail[.]account-security[.]digital
b2fd49c1a72db79ca3be5a6370a353ea6105697b20017606572697c98c3b9629 mail-alerts[.]cc[.]cd
9280780cde1623fcb712b3d0f34cacedb77973dc8cac7f01c5338fe6fd22ad5c mail-verification[.]cc[.]cd
b2fd49c1a72db79ca3be5a6370a353ea6105697b20017606572697c98c3b9629 i-ua[.]cc[.]cd
eefc039a84cb1276a8b76e09150d188de3aa262e7c7149e8a3cd1b07eb868460 bigmir-net[.]cc[.]cd
111.88.74[.]246 5778fb76f3e1024cf3b6b8b298c4ac3607c869d5516ba7f8b274e9709fbfd0a5 account-protection-team[.]icu
a29de1229b408e47af2a926bce7db5c6bc5d9208f1fc10226748dd65071e064e support-accounts-checker[.]cc[.]cd
bd90a95c7b698c7680c3c64eb578cdda686dd33029e60ca74b8a67502bab72e9 account-protection-support[.]icu

注意: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファング(元の形式に戻す操作)してください。

翻訳元: https://gbhackers.com/websocket-relay-to-bypass-sms/

ソース: gbhackers.com