フィッシングキット「ARToken」、Cloudflare WorkersとSharePoint偽装でMicrosoft 365ユーザーを標的に

高度なPhishing-as-a-Service(PhaaS)プラットフォーム「ARToken」が、Cloudflare Workersと偽装SharePointテナントを組み合わせることで多要素認証(MFA)を回避し、Microsoft 365ユーザーを積極的に標的にしていることが分かりました。

悪名高い「EvilTokens」プラットフォームの進化形として登場したこの最新版フィッシングキットは、Microsoft OAuth 2.0のDevice Authorization Grantを悪用し、被害者のトークンを窃取して持続的なアクセスを確立します。

脅威研究者による最近の調査では、無差別型の攻撃手法から、標的を絞り込んだビジネスメール詐欺(BEC)キャンペーンへと戦術がシフトしていることが浮き彫りになっています。

セキュリティ研究者は今年初め、EvilTokensの大規模な展開について文書化し、AIを活用した誘導文言や自動化されたデバイス登録の存在を指摘していました。

ARTokenはこの基盤の上に構築されており、同一のAPI契約や共有のPrimary Refresh Token(PRT)ライフサイクルを引き継いでいます。

しかしARTokenは、より成熟した運用環境を導入しており、シングルページアプリケーション形式のダッシュボードを備え、攻撃者に侵害後のBEC活動に必要な一連のツール一式を提供します。

ARTokenの感染チェーンは、標的を絞り込んだベンダーなりすましから始まります。攻撃者は正規組織の買掛金担当者のアカウントを装い、標的に対して未払い請求書に関する問い合わせメールを送信します。

攻撃者は、なりすました身元を守るために、古典的な「返信先すり替え」の手法を用います。

メールの「From」ヘッダーにはベンダーの本物のドメインが表示されますが、「Reply-To」フィールドは密かに攻撃者が管理するドメインへ被害者の返信を誘導するよう設定されています。

こうしたメールは、SPF、DKIM、DMARCチェックを一貫して通過できませんが、見慣れた表示名によってユーザーが行動を起こすよう誘導されてしまうケースが多く見られます。

悪意あるペイロードを配信するため、これらのメールには一見本物のSharePointテナントを指しているように見えるリンクが含まれています。しかし実際の遷移先は、ベンダーのドメイン名がそのままテナントラベルに組み込まれた偽装ワークスペースです。

この遷移先は正規のMicrosoftホスト上に存在するため、本質的にSharePointのクリーンな評判を引き継ぐことになり、標準的なメールセキュリティフィルターを容易にすり抜けてしまいます。

被害者がリンクをクリックすると、ARTokenはCloudflare Workers上でホストされている、大幅に難読化されたJavaScriptペイロードを展開します。

実際のフィッシングページが読み込まれる前に、このキットは自動化されたセキュリティ解析をブロックするため、クライアント側で厳格な挙動検証を実施します。この人間確認ロジックには、いくつかの異なるチェック項目が含まれています。

検証チェックを通過すると、ペイロードはユーザーのローカルストレージに保存されている既存のJSON Web Tokenの窃取を試みます。その後プラットフォームは、被害者を本物のMicrosoftデバイスログインページへと誘導します。

このキットはバックエンドに対して明確にMicrosoftのAuthentication Brokerフローを使用するよう指示するため、被害者の認証トークンを確実に窃取できてしまいます。

talosintelligenceが指摘しているように、このキットは、ユーザーがパスワードをリセットしても存続する持続的セッションを確立します。

Cloudflare APIを通じたインフラの自動化と、これら高度な侵害後ツールを組み合わせることで、ARTokenはPhaaS業界における重大なエスカレーションを示す存在となっています。

PRTをインポート・更新・共有できる能力により、単純なフィッシング行為が、粘り強く長期にわたる侵害へと変貌してしまいます。

セキュリティチームは、この高度な脅威を検知するために、異常なデバイスコード認証フローや不正な受信トレイルール作成の監視を優先すべきです。

翻訳元: https://cyberpress.org/artoken-targets-microsoft-365/

ソース: cyberpress.org