TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Astarothフィッシングキット、リバースプロキシ技術で2FAを回避

「Astaroth」と呼ばれる高度な新しいフィッシングツールがサイバー犯罪プラットフォームに登場し、二要素認証(2FA)を回避するための先進的な手法をうたっています。

2025年1月に初めて宣伝されたこのキットは、セッションハイジャックとリアルタイムの認証情報傍受を用いて、Gmail、Yahoo、Office 365などのプラットフォーム上のアカウントを侵害します。

SlashNextの研究者によると、Astarothは evilginx風 のリバースプロキシを介して動作し、ユーザーと正規のログインページの間に入り込みます。 

これにより、疑いを招くことなく、ユーザー名、パスワード、2FAトークン、セッションクッキーを取得できます。攻撃者がこれらのセッションクッキーを入手すると、追加のセキュリティチェックを回避して認証済みセッションを乗っ取ることが可能になります。

Astarothが際立つ理由

Astarothのリアルタイム傍受機能は、従来のフィッシングキットとは一線を画します。一般的なキットはログイン認証情報を取得できても、2FAで保護されたアカウントの侵害に失敗することが少なくありません。しかしAstarothは、トークンを動的に傍受して転送するため、認証が行われた瞬間に攻撃者がアクセスを得られるようになります。

「攻撃者は現在、マン・イン・ザ・ミドル型のリバースプロキシを使って正規サイトを模倣し、ユーザー名、パスワード、2FAトークン、セッションクッキーを即座に取得しています」とSectigoのシニアフェローであるJason Soroko氏は説明します。「この手法は、セキュリティが反応する前に認証済みセッションを乗っ取り、2FAを無力化します。」

SlashNextが挙げたAstarothの主な特徴は次のとおりです。

  • 認証情報とセッションクッキーのリアルタイム取得
  • 安全なサイトを装うためにSSL認証済みのフィッシングドメインを使用
  • SMSベースのコード、プッシュ通知、認証アプリに対応

攻撃の仕組み

攻撃は、被害者がフィッシングリンクをクリックし、リバースプロキシとして機能する悪意あるサーバーへリダイレクトされるところから始まります。

SSL証明書が用意されているため、被害者はセキュリティ上の脅威を感じません。認証情報とトークンが入力されると、Astarothはデータを取得し、TelegramまたはWebパネルのインターフェースを通じて攻撃者に通知します。

フィッシングの脅威と進化するサイバー犯罪の戦術について詳しく読む: Email Nightmare: 2023年に企業の94%がフィッシング攻撃の被害に

「Astarothのようなキットが利用可能になることで、サイバー犯罪者にとって参入障壁が下がり、経験の浅い攻撃者でも非常に効果的な攻撃を実行できるようになります」とKeeper Securityのセキュリティ&アーキテクチャ担当バイスプレジデントであるPatrick Tiquet氏は述べました。 

「リアルタイムの認証情報傍受とリバースプロキシを活用して認証済みセッションを乗っ取ることで、攻撃者は多要素認証(MFA)を含む、最も強固なフィッシング防御でさえ回避できます。」

最終段階では、取得したセッションクッキーを使用して被害者のログイン環境を再現します。セッションはすでに認証済みであるため、これにより2FAは完全に回避されます。

「このフィッシングキットは驚くほど高度です」とBlack DuckのプリンシパルコンサルタントであるThomas Richards氏は警告します。「私たちがユーザーに教育している、通常の防御策や注意点の多くが、この攻撃では見分けにくくなっています。」

法執行機関にとっての課題

技術的な巧妙さに加え、AstarothにはブレットプルーフホスティングやreCAPTCHA回避といった機能も含まれています。Telegramやサイバー犯罪フォーラムの販売者は、2000ドルで6か月のサポートパッケージを提供しています。

SlashNextは、分散型ホスティングと暗号化通信プラットフォームへの依存により、法執行機関がAstarothの流通を妨害するのは困難だと述べています。

「その他の主要機能には、ブレットプルーフホスティングのようなカスタムホスティングオプションが含まれており、法執行機関によるテイクダウンの試みに耐え、インフラの長期的な可用性を確保するのに役立ちます。これにより、サイバー犯罪者は西側当局との協力が限定的な法域で活動をホストできるようになります」と同社は述べました。

「最後に、Astarothは主にTelegramを通じて配布され、サイバー犯罪フォーラムやマーケットプレイス全体で宣伝されています。残念ながら、これらのプラットフォームのアクセスのしやすさと、提供される匿名性が相まって、法執行機関が販売を追跡し妨害することは非常に困難になっています。」

画像クレジット: JarTee / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/astaroth-phishing-kit-bypasses-2fa/

ソース: infosecurity-magazine.com
#2FA回避 #Astaroth #Evilginx #Telegram #セッションクッキー窃取 #セッションハイジャック #バレットプルーフホスティング #フィッシングキット #リバースプロキシ #中間者攻撃(MITM)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新