eSecurity Planet の記事内容および製品推奨は編集上独立しています。パートナーへのリンクをクリックすることで収益が発生する場合があります。 詳細はこちら
Cisco Talosは、フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「ARToken」を発見しました。同プラットフォームは、SekoiaとMicrosoftが以前報告した「EvilTokens」エコシステムと密接な関連性を持つとみられています。
今回の調査によると、ARTokenはアフィリエイト(協力者)に対し、Microsoft 365アカウントの侵害から永続的なアクセスの維持、そしてBEC(ビジネスメール詐欺)攻撃の実行までを一貫して行える総合的なプラットフォームを提供しているとみられます。
今回の調査結果は、サイバー犯罪プラットフォームがフィッシングの自動化、永続化の仕組み、侵害後のツールを単一のサービスへと統合しながら、いかに高度化を続けているかを浮き彫りにしています。
主なポイント
- Cisco Talosは、Microsoft 365ユーザーを標的としたEvilTokensエコシステムと密接に関連するフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「ARToken」を特定
- ARTokenはMicrosoftのOAuthデバイスコード認証フローを悪用し、認証トークンを窃取してMFA(多要素認証)による保護を回避、アカウントへの持続的なアクセスを可能にする
- 同プラットフォームは、フィッシング、高度な解析対策技術、トークンの永続化、BEC(ビジネスメール詐欺)機能を単一のアフィリエイト向けプラットフォームに統合
- 攻撃者は本物そっくりのSharePointリンク、取引先へのなりすまし、そして信頼されたMicrosoftのインフラを利用することで、フィッシング攻撃の成功率を高めている
ARTokenはEvilTokensのデバイスコードフィッシングをどう発展させたか
研究者らによると、ARTokenはEvilTokensとAPI構造、展開方法、OAuth 2.0デバイス認可ワークフローを共有しているといいます。
デバイスコードフィッシングは、Microsoftの正規ログインポータルを悪用し、パスワードではなく認証トークンを窃取する手口です。
研究者らは、両プラットフォームが同一のAPIコントラクト、類似したCloudflare Workersの展開方法、PRT(プライマリリフレッシュトークン)を用いたワークフロー、そしてマルチテナント対応のアフィリエイト管理機能を持つことから、両者の関連性を指摘しています。
これらの類似点を総合すると、ARTokenはより広範なEvilTokensエコシステムの一部として、あるいはそれと密接に連携する形で運用されている可能性が示唆されます。
ARTokenが用いるMicrosoft 365フィッシングの手口
研究者らはまた、正規の取引先による請求書のやり取りになりすまし、買掛金担当者を標的とした、今回のキャンペーンに関連するフィッシングメールも分析しています。
これらのメールは、無差別なばらまき型フィッシングに頼るのではなく、既存の取引関係を悪用することで信頼性を高めていました。
リンクは一見正規のSharePointサイトを指しているように見えますが、実際には被害者をSharePoint上でホストされた攻撃者管理下のMicrosoft 365環境へとリダイレクトしていました。
研究者らはさらに、SPF、DKIM、DMARCの検証failure(失敗)、返信先アドレスの改ざん、そして従来のメール検知を回避するために設計された微妙なメッセージのバリエーションも確認しています。
ARTokenの高度な解析対策・検知回避技術
ARTokenの注目すべき特徴の一つが、その広範な解析対策の仕組みです。
Cisco Talosは、正規のユーザーと自動化された解析環境を見分けようとする、7段階からなる行動検証プロセスを確認しています。
同プラットフォームは、フィッシングのペイロードを配信する前に、ブラウザの特性、自動化を示す痕跡、ユーザーの操作パターン、画面サイズ、閲覧経過時間、マウスの動きなどをチェックします。
フィッシングコード自体はXOR暗号化により保護されており、実行時にブラウザ内で復号される仕組みになっています。これにより、自動化されたセキュリティ解析やURLスキャンツールに対する防御層がさらに一段加わっています。
こうした機能は、これまで公開されているEvilTokensの調査で報告されてきたものよりも、はるかに高度なクライアントサイドの検知回避手法であるといえます。
ARTokenが可能にするビジネスメール詐欺(BEC)攻撃
ARTokenは、認証情報の窃取にとどまらず、侵害後に利用できる幅広い機能をアフィリエイトに提供しています。
研究者らは、以下の機能をサポートしていることを確認しました。
- 長期的なアカウントアクセスを実現するプライマリリフレッシュトークンの永続化
- Outlookメールボックスの閲覧およびメール送信
- SharePointおよびOneDriveのファイル管理
- メッセージの転送や非表示を目的とした受信トレイルールの作成
- トークンの一括管理・共有
- Cloudflare Workerの展開自動化
- 複数アカウントを横断したキーワード監視
- 運用者間での役割分担に基づく連携
同プラットフォームには、窃取した認証トークンを使って侵害されたMicrosoft 365セッションを攻撃者が操作できる、Windowsベースのブラウザも組み込まれています。
トークンのインポート機能、複数人での連携によるトークン共有、地域を考慮したフィッシングテンプレート、高度なSharePoint操作機能など、これらの機能の多くは、これまで公開されてきたEvilTokensに関する報告の範囲を超えるものです。
ARTokenおよびMicrosoft 365フィッシングへの対策
デバイスコードフィッシングが進化を続けている現状は、組織がMicrosoft 365アカウントの保護を多要素認証だけに頼ることができないことを示しています。
被害者はMicrosoftの正規のログインプロセスを通じて認証を行うため、従来の認証情報ベースの防御策では、この攻撃を検知できない場合があります。
組織は、以下の対策によりリスクを低減できます。
- 必要に応じて、OAuthデバイスコード認証を制限または監視する
- トークンの発行、デバイス登録、不審な認証アクティビティを継続的に監視する
- 受信トレイの転送ルールなど、永続化の仕組みに不正な変更がないか確認する
- SharePointおよびOneDriveのアクティビティを監視し、異常なダウンロードや権限変更がないか確認する
- 従業員に対して、請求書の依頼内容を確認し、埋め込まれたSharePointリンクを注意深く確認するとともに、あらゆる依頼を別の連絡手段で検証するよう教育・訓練を行う
結論
Cisco Talosの分析は、フィッシング・アズ・ア・サービスプラットフォームが、単なる単体のフィッシングキットにとどまらず、包括的な攻撃エコシステムへと進化を続けている実態を示しています。
ARTokenは、高度なフィッシングインフラ、先進的な解析対策技術、Microsoft 365への持続的なアクセス、そして組み込みのBEC(ビジネスメール詐欺)ツールを、単一のアフィリエイト向けプラットフォームに統合しています。
ARTokenのようなフィッシングプラットフォームがますます高度化・持続化する中、ゼロトラストソリューションを導入することで、組織はユーザーを継続的に検証し、不正アクセスを制限し、侵害されたIDによる被害範囲を縮小できます。
翻訳元: https://www.esecurityplanet.com/threats/cisco-talos-exposes-artoken-microsoft-365-phishing-kit/