「ARToken」と呼ばれる新たなフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが、EvilTokensフィッシングプラットフォームの関連組織として運用されている実態が明らかになりました。これにより研究者らは、Microsoft 365を侵害するために設計された大規模なツールキットの中身を垣間見ることができました。
Cisco Talosの研究者らは、インシデント対応業務でフィッシングインフラを調査していた際にこのプラットフォームを発見し、80以上のAPIエンドポイントを公開する「ARToken Panel」というReactベースの管理パネルを特定しました。
クライアント側のJavaScriptコードをリバースエンジニアリングした結果、通常のフィッシングプラットフォームには見られない、これまで報告されていなかった機能が多数明らかになりました。
このプラットフォームは、攻撃者がMicrosoft 365の認証トークンを窃取し、プライマリリフレッシュトークン(PRT)を用いて永続的なアクセスを確立し、Outlookのメールボックス、SharePointサイト、OneDriveファイルにアクセスすることを可能にします。さらに、Cloudflare Workersを通じてフィッシングインフラを展開するツールや、ビジネスメール詐欺(BEC)の各種操作を自動化する機能も備えています。
Talosのレポートによると、複数の技術的な共通点から、ARTokenは今年初めに発見されたEvilTokensフィッシングプラットフォームと強く結びついていることがうかがえます。
研究者らは、ARTokenフィッシングキットがMicrosoftのデバイスコード認証フローに対して、EvilTokensの攻撃と関連付けられていた`POST /api/device/start`リクエストと同一のAPI呼び出しを使用していることを発見しました。
Talosはまた、Sekoiaによる EvilTokens調査で報告されたものと同一のプライマリリフレッシュトークン関連APIエンドポイントも特定しました。これにはプライマリリフレッシュトークンの設定、更新、renewal(再有効化)、そして期限切れ後の再取得を行うためのエンドポイントも含まれています。
このプラットフォームはさらに、類似したCloudflare Workersの展開モデルを使用しており、アフィリエイトがそれぞれ専用のワークスペースを通じて自分のキャンペーンを管理する、マルチテナント型のフィッシングサービスとして運用されています。
EvilTokensは、Microsoftの OAuth 2.0 デバイス認証グラント認証フローを悪用することに重点を置いてアカウントを侵害しており、この手法はデバイスコードフィッシングとして知られています。
被害者はMicrosoftの正規のデバイスログインページ上で、正規のMicrosoft発行デバイスコードを入力するよう仕向けられます。その結果、Microsoftは被害者本人ではなく攻撃者に対して直接認証トークンを発行してしまいます。被害者はMicrosoftの正規インフラを通じて認証を行うため、この攻撃は多要素認証による保護を突破することに成功します。

Sekoiaは3月に初めてEvilTokensプラットフォームについて文書化し、これを1,500ドルの設定料金と月額500ドルのサブスクリプション料金でサイバー犯罪者に販売される商用フィッシングサービスであると説明していました。
続報では、Sekoiaは窃取したメールボックスを取り込んで金銭的な影響度をスコアリングし、AIやLLMを用いてBECキャンペーンの文面を作成したり、別言語で活動するオペレーター向けに窃取したメールを翻訳したりするAI主導のワークフローを発見しています。
その後、デバイスコードフィッシング攻撃が急激に増加し、Microsoft 365ユーザーに対する高い成功率からさまざまな脅威アクターがこの手法を採用するようになったことを受け、Microsoftもこのプラットフォームについて警告を発しました。
EvilTokensが他のデバイスコードフィッシングキットと一線を画しているのは、詐欺行為の自動化にAIを活用している点です。
EvilTokens系アフィリエイトプラットフォームの内部
Talosのレポートでは、アカウント侵害に成功した後にEvilTokensのアフィリエイトが利用できる機能について詳細な概要が示されています。
被害者がデバイスコード認証プロセスを完了すると、ARTokenを使ってオペレーターは窃取したトークンを更新し、永続的なプライマリリフレッシュトークン(PRT)へとアクセス権限を昇格させることができます。
研究者らはまた、ビジネスメール詐欺攻撃を実行するためのツール群も発見しました。これには、Outlookメールボックスへの完全アクセス、侵害したユーザーとしてメールを送信する機能、メッセージを自動転送または非表示にする受信トレイルールを作成する機能、複数のメールボックスを同時にキーワード監視する機能、メール添付ファイルをダウンロードする機能などが含まれます。
攻撃者はさらに、被害者のSharePointサイトやOneDriveアカウントに保存されているファイルを閲覧、アップロード、ダウンロード、管理することも可能であり、これによりデータ窃取や、追加攻撃に用いるマルウェアの配布が可能になります。
ARTokenでは、これまでのEvilTokens関連調査では確認されていなかった複数の機能も明らかになりました。
脅威アクターは、複数の乗っ取ったメールボックスを同時に特定のキーワードで監視したり、他の情報源から窃取したトークンを読み込んだり、侵害したアカウントへのアクセス権を共有したりすることができます。
また、痕跡を隠すためにメッセージを非表示または削除する受信トレイルールを密かに設定したり、被害者の所在地に応じてコンテンツを自動的に更新するフィッシングページを使用したりすることも可能です。

Talosはこのプラットフォームに関連するフィッシングメールも分析しており、攻撃者が経理担当者を狙った請求書テーマのおとりメールで、正規のベンダーになりすましていたことを突き止めました。
メールは明らかに攻撃者が管理するサイトへのリンクを貼るのではなく、一見正規のSharePointアドレスに見えるものを表示しつつ、実際には攻撃者のMicrosoft 365ワークスペース内でホストされている偽装テナントへ被害者を誘導します。
4月には、Push Securityが過去1年間でデバイスコードフィッシング攻撃が37倍に急増したと報告しており、現在では少なくとも11種類のフィッシングキットがサイバー犯罪者向けにこの手法を提供しています。
最新のMicrosoft 365フィッシング攻撃、ビジネスメール詐欺(BEC)、アカウント乗っ取りへの対策を検討している組織向けに、BleepingComputerはAbnormal社とともに「Stop chasing alerts: Automating email security with behavioral AI.」と題したウェビナーを開催します。
このウェビナーでは、攻撃者がデバイスコードフィッシングなどの手法を用いて多要素認証を突破しアカウントを侵害する方法や、これらの攻撃が従来のメールセキュリティ対策をすり抜けてしまう理由、そして行動分析AIがフィッシングや侵害されたアカウントの活動の検知・調査・対応をどのように自動化できるかについて解説します。
攻撃者に先んじて、あらゆる防御層をテストする
セキュリティチームが記録できている攻撃成功件数はわずか54%、アラートが発報されるのはたった14%に過ぎません。残りは環境内を検知されないまま通り抜けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、検知をすり抜ける脅威を防ぐ方法を紹介しています。