Entra パスキー登録を悪用したビッシング攻撃、Microsoft 365ユーザーを標的に

ある脅威アクターが、複数の業種の組織を標的に、Microsoft 365ユーザーに新しいEntraパスキーの登録を求める音声ベースの偽セキュリティ要求を仕掛けています。

この攻撃者は、Microsoftが5月に管理者向けに開放した新機能を悪用しています。この機能は、より安全な認証のためにユーザーにパスキー登録を促す「パスキー登録キャンペーン」を管理者が実施できるようにするものです。

このキャンペーンは4月から続いており、標的となったユーザーに電話をかけ、攻撃者が管理する新しいパスキーを登録するよう説得を試みる手口です。

攻撃者は欺瞞を隠すため、被害者を正規のMicrosoftパスキー登録プロセスを模倣したフィッシングキットへ誘導します。

クラウドベースのID・アクセス管理(IAM)企業であるOktaは、この活動をO-UNC-066という名称で追跡している脅威アクターによるものと分析しています。このアクターは「Pink」として知られる恐喝オペレーションを運営しています。

Oktaによると、O-UNC-066は食品・飲料、テクノロジー、ヘルスケア、自動車、建設、航空といった業界の組織のユーザーを標的にしているとのことです。

「セキュリティアップグレード」を装う手口

このキャンペーンでは、標的となった従業員に電話がかかり、セキュリティ上の理由から新しいMicrosoft Entraパスキーを登録する必要があるという口実で、ドメイン名に「passkey」という単語を含むフィッシングURLへと誘導されます。

この悪意あるWebサイトは、被害組織のブランディングを含んでおり、実際のEntraパスキー登録ポータルを模倣しています。

より一般的なAiTM(Adversary-in-the-Middle)プロキシとは異なり、このキットはオペレーターが制御するPHPパネルであり、攻撃者は使用されている多要素認証(MFA)方式に応じてフローを調整しながら、被害者をリアルタイムでフィッシングプロセスへと誘導します。

「[このフィッシングキットは]オペレーターが制御するPHPパネルであり、脅威アクターは1秒間隔のハートビート・ポーリング機構を使って、ほぼリアルタイムで被害者をさまざまな認証段階へと誘導します」とOktaは説明しています

「オペレーターはこのキットを使って、セッション中に被害者ごとのMFA要件(TOTP、番号一致プッシュ通知、SMSワンタイムパスワード)に合わせてユーザー体験を調整できます」

被害者がキットの画面に入力した認証情報とMFA応答はオペレーターへ転送され、オペレーターはそれを使って被害者のMicrosoftアカウントに認証を通します。

Image

被害者は自分のアカウントに新しいパスキーを登録していると思い込んでいますが、実際には攻撃者が制御するパスキーが登録されています。

アクセス権を得た後、フィッシングサイトは被害者に対して偽のMicrosoftブランドのパスキー登録ページを表示し、偽のBIP-39リカバリーフレーズを保存させ、その中の1単語を確認させるよう促します。

Fake recovery phrase

Oktaは、BIP-39のシードフレーズは正規のMicrosoft Entraパスキー登録プロセスには一切関与していないものの、このプロセスに不慣れなユーザーの目を欺く材料として機能しうると指摘しています。

Pink恐喝集団

Palo Alto Networks傘下のUnit 42によると、Pinkは「The Com」(The Communityの略)として知られる分散型脅威ネットワークと関連する新たな恐喝ブランドです。

この脅威アクターは、ビッシング(音声フィッシング)とITスタッフへのなりすましを使って認証情報や多要素認証(MFA)コードを収集することで知られており、これらは企業データを盗み出す攻撃に利用されています。

Pink脅威グループは5月31日に恐喝サイトを開設し、盗み出したデータのサンプルを公開して、侵害された被害者に身代金の支払いを迫っています。

The Pink extortion site

研究者によると、被害者のアカウントへのアクセス権を得た後、PinkはSharePointやOneDriveのサービスから素早くデータを窃取するとのことです。

Palo Alto Networks Unit 42の主任脅威研究者であるBrad Duncan氏は、6月初旬に、Pinkが使用しているフィッシングドメインの一部に「passkey」という単語が含まれていたと指摘しました。

Oktaは各組織に対し、ユーザーへの連絡時にヘルプデスク担当者の身元をより確実に確認する方法を整備すること、また自社がサービスを提供していない地域からのリクエストを拒否することを推奨しています。

攻撃者に先んじて、すべてのレイヤーをテストする

セキュリティチームが記録できているのは、成功した攻撃のわずか54%であり、警告が出るのはそのうちたった14%に過ぎません。残りは、検知されないまま環境内を通り抜けています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(breach and attack simulation)がSIEMやEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/entra-passkey-enrollment-vishing-targets-microsoft-365-users/

ソース: bleepingcomputer.com