公開ディレクトリから発覚、Evilginxフィッシング実行者3人の実態

設定ミスのあるサーバー1台から、活動中の3人体制フィッシングエコシステムのツールキット一式が丸ごと露見しました。

フランスのセキュリティ企業Lexfoによる新たな調査によると、この公開ディレクトリはブダペストの仮想プライベートサーバー上で稼働していたPython製HTTPサーバーで、4月下旬にディレクトリ一覧表示が有効なまま放置されていたといいます。

フィッシング設定ファイル、認証情報のログ、リモート管理ツールのインストーラー、さらには実行者本人のTelegramセッションファイルまで、すべてが閲覧可能な状態でした。

その背後にいたのは、codemadoという名で追跡されている脅威アクターで、法人向けMicrosoft 365アカウントを狙ったEvilginxベースのAiTM(Adversary-in-the-Middle)プラットフォームを運用していました。

AiTMツールに関する関連記事: TikTok for Businessを狙う新たなAiTMフィッシングの波

3人のアクター、共通するコードの系譜

サーバー上に残されていた痕跡から、codemadoは2018年以降ハッキングフォーラムで活動しているエジプト人の実行者であることが判明しました。

フィッシングプロキシに加え、このホストには永続化のための7種類のリモート監視・管理(RMM)ツール一式が保存されており、ScreenConnectやSimpleHelp、さらに本人が独自開発した大量メール送信ツール「MaDoO Blaster」も含まれていました。

残る2人のアクターは、codemadoが複製していたEvilginxの派生版を通じて浮かび上がりました。ただしこのつながりは運用面ではなく技術面のものです。これらのリポジトリはGitHub上で公開されていたため、Lexfoはコードの共有だけでは連携の証明にはならないと指摘しています。

mail-argentaと呼ばれる実行者は、インフォスティーラーのログに残っていた自身の使い回しの認証情報を通じて特定されました。特に、フィッシングパネルにハードコーディングされていたMySQLパスワードが決め手となり、ナイジェリア人と見られる人物にたどり着いています。

3人目のsaroula01は、OAuth Device Code Flowを悪用するフレームワークを構築していました。これは正規のMicrosoft機能で、被害者は本物のMicrosoftページ上で操作を完了しますが、その裏で攻撃者側のバックエンドがトークンを横取りする仕組みです。

1年間発覚しなかったDevice Codeキャンペーン

3人の中で、saroula01の運用が最も大規模でした。Lexfoはgitの履歴から削除済みの設定ファイルを復元し、その内部ボットのタイムスタンプから、このキャンペーンは2025年6月に開始されたことが判明しました。つまり、1年以上にわたり目立った中断もなく稼働し続けていたことになります。

この期間中に、12か国にまたがる確認済み被害者218人分の情報が蓄積されており、そのうち約94%が法人アカウントでした。取得したトークンはバックグラウンドで自動的に更新される設定になっており、復元されたエントリの中には最大25回にわたり静かに更新され続けていたものもありました。これにより、最初のフィッシングからかなり時間が経った後もアクセスが維持されていたことになります。

3人のアクター全員に共通するのは、ツール開発に生成AIを活用している点です。saroula01のコミットにはAIとの共著を示すメタデータが残されており、mail-argentaのリポジトリには保存された開発セッションの記録も見つかっています。

Lexfoはさらに、codemadoのMaDoO Blasterを、SOCRadarが6月に報告し、RockyBellingという名で知られるアクターが運営するフィッシング・アズ・ア・サービス(PaaS)エコシステム「The Quarry」と結びつけました。RockyBellingは顧客にこのツールを宣伝していたといいます。

同社は、有効なAiTMキャンペーンを実行するための障壁がほぼゼロにまで下がっていると指摘しています。構成要素はGitHub上で無料で入手できるか、あるいはTelegramでわずか数百ドルで販売されているのが実情です。

Lexfoは、防御側に対し、いかなる攻撃者であってもセッションハイジャックやDevice Code Flowの悪用によってMFAを突破し得ると想定した上で、不要な場合はデバイスコード認証を無効化するよう呼びかけています。

翻訳元: https://www.infosecurity-magazine.com/news/open-directory-exposes-evilginx/

ソース: infosecurity-magazine.com