Kratos PhaaSの活動が欧州全域で拡大しており、過去1週間でANY.RUNのインタラクティブサンドボックスに記録された関連分析セッションは100件を超えました。この増加は、コンバージョン率を高めつつ、明白なトリアージの手がかりを減らすよう設計された、更新版のフィッシングフローが原動力になっているとみられます。
最新バージョンでは、静的な/SOftランディングURIと説得力に欠ける「セキュアドキュメント」の誘い文句が廃止され、一般的に見えるURI、より巧妙なMicrosoft認証情報窃取フロー、そして正規のoffice[.]comドメインへの最終リダイレクトへと置き換えられています。
これらの変更により、ユーザーによる報告が遅れやすくなり、トリアージが複雑化するほか、製造業、テクノロジー業界、MSSP各社において認証情報窃取を見逃すリスクが高まる恐れがあります。
これまでのKratosの検体は、トリアージの際に比較的容易に見分けがつくものでした。同じ/SOftランディングURIと、いかにもそれらしくない基本的な「セキュアドキュメントアクセス」の誘い文句が共通して使われており、アナリストにとって再現性のある指標となっていたのです。
更新版では、こうした分かりやすいパターンが排除されています。一般的に見えるURIと、正規のログインフローに酷似したMicrosoft風の認証ページが使用されています。更新されたKratosの攻撃フロー全体とIOCの収集はこちら。
この一連の流れは、ANY.RUNサンドボックス内で利用できるブラウザレベルの可視化機能によって確認できます。Browser Dataタブでは、アナリストが認証情報送信リクエストを検査し、diおよびprパラメータを確認したうえで、認証情報が窃取された後に発生するリダイレクトを追跡できます。
ランディングページのみを確認するのではなく、実際のやり取りを再現することで、アナリストは認証情報の外部送信を確認し、リダイレクトチェーン全体を把握したうえで、検知および対応のためのより強力な証拠を収集できます。
フィッシング行動をより早期に確認し、調査と引き継ぎにかかる時間を短縮することで、SOCのコスト増や事業への支障を招く前に認証情報窃取を封じ込めましょう。フィッシング対応を迅速化する。
単一の分析だけでも、フィッシングページの挙動は確認できますが、キャンペーンの全容や地理的な広がりまでは明らかになりません。アナリストはANY.RUNのThreat Intelligence Lookupを利用することで、観測された指標を起点に、欧州、米国、その他の地域にまたがるKratos関連の他のセッションを掘り起こすことができます。
このクエリ機能を使えば、関連ドメインや繰り返し使用されるインフラ、再利用されているフィッシングコンポーネント、ランディングURIの変化などをチームが特定しやすくなります。これにより、アナリストはキャンペーンの発展状況を追跡し、地域ごとの活動を比較し、すでに社内のテレメトリに現れている可能性のある指標を見つけ出すことができます。
更新されたKratosのフローは、検知を/SOft URIやランディングページの見た目だけに頼るべきではないことを示しています。アナリストは、検知ロジックを構築する際に、ブラウザの挙動、ネットワークリクエスト、リダイレクトの動き、そしてキャンペーンのインフラを組み合わせて評価する必要があります。
/next.phpのようなエンドポイントは正規のウェブサイトにも存在し得るため、こうした指標は単独で用いるのではなく、相関させて判断すべきです。
現実味のあるログインフローの裏に認証情報窃取が隠されている場合、対応の遅れはそのままコスト増につながります。アナリストはページの検証により多くの時間を費やすことになり、エスカレーションされた案件では調査が繰り返され、侵害されたアカウントが実際に悪用されて初めて封じ込めが始まるケースもあります。
調査プロセスを迅速化することで、組織は次のような成果を得られます。
疑わしいページの発見から挙動の確認までを素早く進めることで、セキュリティチームはSOCの業務負担とフィッシングインシデントによる金銭的損失の両方を軽減できます。
フィッシング対策を強化しましょう。より迅速な行動分析、明確な引き継ぎ、そして早期の封じ込めにより、SOCのコストと事業リスクの両方を抑えられます。