1年にわたるMicrosoftデバイスコードフィッシングキャンペーン、MFAを回避し218名の被害者を出す

Microsoftの正規機能であるOAuthデバイスコードフローを悪用した、長期にわたるMicrosoft 365デバイスコードフィッシングキャンペーンが確認され、複数の国で少なくとも218名の被害者を出していたことが判明しました。

saroula01として追跡されている脅威アクターに関連するこの攻撃活動は1年以上にわたって継続しており、主に企業ユーザーを標的にしていました。

このキャンペーンでは、black-queenという名称のカスタムフィッシングフレームワークが使用されていました。これはEvilginxをベースに改変されたツールキットで、パスワードではなくMicrosoft 365のOAuthトークンを窃取するよう設計されています。

被害者はMicrosoftの正規のデバイスログインページで認証を完了する一方、攻撃者はその結果生じるアクセストークンとリフレッシュトークンを収集するため、この手口は多要素認証(MFA)を回避できてしまいます。

Microsoftのデバイスコードフローは、スマートTVやコマンドラインツール、IoT機器など、Webブラウザを容易に表示できないデバイス向けに用意された機能です。

攻撃者はこの信頼された仕組みを悪用し、実際のMicrosoftデバイスコードを生成した上で、Microsoft Authenticatorを装った偽ページ上でターゲットに提示していました。

被害者は「MFAを検証する」あるいはセキュリティアラートを確認するためとして、実在するMicrosoftのmicrosoft.com/deviceloginページにアクセスし、コードを入力するよう指示されていました。

Microsoftのログインページとコード自体は正規のものであったため、ユーザーはURLを確認したとしても、このリクエストを安全なものと信じてしまう可能性がありました。

被害者がコードを入力して認証を完了すると、攻撃者側のバックエンドがMicrosoftのトークンエンドポイントをポーリングし、アクセストークンを取得していました。

これらのトークンがあれば、被害者のパスワードや攻撃者による別途のMFA承認を必要とせずに、Microsoft 365のリソースにアクセスできてしまう恐れがありました。

このキャンペーンのTelegramボットから復元されたテレメトリによると、活動は2025年6月18日から少なくとも2026年7月2日まで確認されています。

研究者らは、オーストラリア、英国、米国、スイス、スペイン、ポーランド、カナダなど複数の国の組織に属する94の企業メールアドレスを含め、合計218件のユニークな標的を特定しました。

被害者の大半は企業ドメインを使用しており、プロフェッショナルサービス、法律、公共部門、建設、自動車、人材採用、中小企業といった業種の組織が含まれていました。

被害者の中で最も多かったのは.comドメインを使用するセグメントで、これに.uk、.au、.pl、.es、.org、.net、.ch、.caのアドレスが続きました。

フィッシングツールキットの公開されているGit履歴から復元可能な、削除済みのJSONファイルには、3名の被害者に紐づく97件のMicrosoft OAuthトークンエントリが含まれていたとされています。

これらのトークンにはautoRefresh機能が設定されており、ツールがバックグラウンドでアクティブなセッションを更新できるようになっていました。報告によれば、一部の個別トークンは最大25回もリフレッシュされていたとのことです。

この攻撃インフラは、Azure上の仮想プライベートサーバー(20.118.27.127)でホストされているromnor.caドメインに依存していました。

account.romnor.ca、briefing.romnor.ca、share.romnor.ca、download.romnor.ca、sign.romnor.ca、team.romnor.caといったサブドメインが、それぞれ異なるデバイスコードの誘導ページを表示するために使用されていたと、lexfoは述べています

注: IPアドレスおよびドメインは、誤って解決されたりハイパーリンク化されたりするのを防ぐため、意図的に無害化表記(例: [.])としています。再度有効な表記に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤の中でのみ行ってください。

翻訳元: https://cyberpress.org/device-code-phishing-bypasses-mfa/

ソース: cyberpress.org