新たなフィッシングキットがMicrosoft 365アカウントを標的に、MFAを回避

JaliscoとOmegaLordという2つの新しいフィッシングキットが確認されており、Microsoft 365アカウントを狙う攻撃で多要素認証(MFA)を突破する手口が使われていることがわかりました。

Jaliscoはデバイスコードを悪用するフィッシング手法を用いる一方、OmegaLordはPDFリーダーになりすましてアカウントのログイン認証情報と関連する電話番号を窃取します。この電話番号は、攻撃者がMFAリクエストやコードを傍受・乗っ取る際に役立つとみられています。

これら2つのフィッシングツールキットは、サイバーセキュリティ企業ReliaQuestの研究者によって分析されました。同社は、デバイスコードフィッシングがますます一般化する一方で、従来型のフィッシング手法も最新の防御策を回避するために進化を続けていると指摘しています。

デバイスコードフィッシングの手法は、OAuth 2.0のデバイス認可グラントフローを悪用するもので、被害者を騙して攻撃者が管理するデバイスにMicrosoftアカウントへのアクセスを承認させます。

この攻撃は通常、脅威アクターがMicrosoft 365などのMicrosoftサービスへのサインインリクエストを開始し、プラットフォームがデバイス認可コードを生成する形で始まります。

攻撃者はソーシャルエンジニアリングを使い、被害者を騙して正規のMicrosoftログインページにサインインさせ、認可コードを入力させます。これにより、攻撃者が管理するデバイスが承認されてしまいます。デバイスの承認が完了すると、攻撃者はユーザー名やパスワードを一切必要とせずに被害者のアカウントにアクセスできるようになります。

Jaliscoツールキットは、被害者がフィッシングページを開くと自動的に新しいMicrosoft OAuthデバイスコードを生成します。

Image

コードをリアルタイムで発行することで、このフィッシングツールキットはMicrosoftがデバイスコードフィッシング攻撃に対抗するために設けている、デバイスコードの15分間の有効期限を回避しています。

研究者らによると、Jaliscoには運営者が窃取したセッションや侵害済みアカウントを管理できるWebポータルも含まれているとのことです。

ReliaQuestによれば、単一の侵害済みアカウントに対して攻撃者が5台もの不正デバイスを登録するケースも確認されており、疑いを持たれにくくするため「Microsoft」や「Windows」といった一見無害な名前を使うこともあるといいます。

アカウントを侵害した後、攻撃者はSharePointや他のSaaSサービス内で価値あるデータを探索し、数分以内にそれを窃取します。その後、恐喝要求を行い、データを公開すると脅迫します。

「脅威アクターは侵害済みアカウントを利用して、顧客や従業員の個人を特定できる情報(PII)、財務記録、SharePointや他のSaaSプラットフォームに保存された社内のやり取りなど、機密性の高いデータにアクセスします」とReliaQuestは述べています

「防御側が侵害を検知する前に、わずか6分程度という短時間でデータ窃取が行われるケースも珍しくありません」

OmegaLordはより従来型のフィッシングツールで、偽のPDFリーダーのログインページを使ってメールアドレス、パスワード、電話番号を窃取します。これはおそらく、攻撃者がMFA保護を回避する手助けとなることを狙ったものです。

OmegaLord phishing prompt

「電話番号を明確に標的にしている点は、デバイスコードフィッシングと並んで、脅威アクターがMFAという制御そのものを回避する方向で攻撃を作り込んでいることを示す、もう一つの例です」とReliaQuestの研究者らは指摘しています。

Jaliscoフィッシングキットは、被害者のアカウントへのアクセスを得るためにデバイスコード方式を利用するツールの一つであり、他にもEvilTokensKali365Tycoon2FAVenomForg365が存在します。

ReliaQuestは、Entra IDのデバイス登録上限をデフォルト値の「50」から1〜2程度まで引き下げることを推奨しています。これにより、アカウント乗っ取りが発生した場合の対応・復旧にかかる時間の短縮にもつながるとしています。

さらに、Microsoft Entra条件付きアクセスを通じてデバイスコード認証をブロックすること、OktaでOAuthデバイス認可グラントを制限すること、不要なアプリ登録を監査して削除することも推奨されています。

攻撃者に先んじて、すべての防御層をテスト

セキュリティチームが記録できているのは、成功した攻撃のうち54%にとどまり、アラートが発報されるのはわずか14%です。残りは環境内を検知されないまま通り抜けています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/new-phishing-kits-target-microsoft-365-accounts-evade-mfa/

ソース: bleepingcomputer.com