フィッシングサービスは急速に進化し、大規模な悪用を狙った洗練された「ターンキー型」プラットフォームへと変貌を遂げています。最近では、新種のツールキット「NovaCookies」を使った攻撃者が、100件を超えるクラウドアカウントを侵害する事態が発生しました。この深刻な侵害は、単一の医療機関においてわずか1日のうちに引き起こされたものです。Proofpointの研究者らは、このNovaCookiesを悪名高い「Sneaky2FA」クラスターと関連付け、既存ツールの高度な発展形であると分析しています。
これまでの経緯と活動パターン
Sneaky2FAの活動は、2026年2月まで断続的に活発化する傾向を示していました。まさにこの時期に、Proofpointは初めてNovaCookiesの出現を検知しています。その後、3月から5月にかけて、攻撃者らはこの改良版を大幅に頻度を高めて展開しました。しかし6月に入ると、確認された侵害件数の減少とともに、明らかな活動の鈍化が見られました。
Proofpointが発表した最新の脅威情報によると、このツールは敵対的な手法を用いて認証情報をシームレスに窃取するとのことです。
高度な攻撃メカニズム
NovaCookiesは基本的に、AitM(Adversary-in-the-Middle、中間者)型の構造を通じて機密データを傍受します。認証情報をシームレスに窃取する偽の画面は、そのデータを正規のサービスへと中継します。これにはユーザー名、パスワード、セッショントークンの入力内容が含まれます。その結果、この不正な情報取得によって、攻撃者は堅牢な多要素認証プロトコルを完全に回避できるようになります。
従来のSneaky2FAフレームワークが主にMicrosoft環境を標的としていたのに対し、NovaCookiesには専用のサブルーチンが組み込まれています。具体的には、Oktaプラットフォームや、GoDaddyに関連付けられたEntraドメインを狙うために調整された設定が特徴です。
フィッシング・アズ・ア・サービスというビジネスモデル
さらに、開発者らはNovaCookiesを、フルマネージド型のフィッシング・アズ・ア・サービス(PaaS)というビジネスモデルのもとで配布しています。加入する顧客は、この悪意あるプラットフォームにアクセスするために定期的な料金を支払う仕組みです。一方で、中核となる運営者が、基盤となるコマンドサーバーおよび関連インフラを一元的に維持管理します。したがって、この効率化された役割分担により、加盟する攻撃者側の技術的負担は軽減され、複雑なバックエンド基盤を自ら構築することなくキャンペーンを実行できるようになっています。
インフラの変化と標的セクター
4月には、この不正な通信を仲介するインターネットサービスプロバイダー間で、目立った移行が監視担当者によって観測されました。この行動パターンは、管理者による検知を回避するために設計された、サーバーの移転やプロキシのローテーションと強く相関しています。
残念ながら、医療機関は依然として攻撃者に好んで狙われる標的であり続けています。この脆弱性は、単一の企業環境において100件を超える認証情報が迅速に侵害された事例からも裏付けられています。最終的に、防御側はSneaky2FAとNovaCookiesの両方について、その進化を引き続き注視しています。こうした進化する脅威を軽減するため、組織は専用の防御ツールを早急に導入すべきです。これらのソリューションは、クラウドアカウント乗っ取りの試みを効果的に検知し、阻止します。
翻訳元: https://meterpreter.org/novacookies-phishing-service/