Kratos PhaaSがMicrosoft 365ユーザーを標的に、SharePointリンクとCloudflare不正ボット対策検証を悪用

サブスクリプション型のフィッシングサービス(PhaaS)「Kratos」が、米国、欧州、その他の地域でMicrosoft 365ユーザーを標的にしています。通常の文書共有ワークフローに紛れ込むよう設計されたキャンペーンを展開しています。

この攻撃は、Microsoft SharePoint、OneDrive、Microsoft Forms、Canva、Tilda、systeme.ioといった信頼性の高いサービスを悪用してリンクを配布し、最終的に受信者を認証情報窃取ページへとリダイレクトします。

ANY.RUNの研究者は、この攻撃に関連する主要な亜種にわたって、1,628件のサンドボックスセッションを特定しました。

このうち、事前にKratosとしてラベル付けされていたセッションはわずか156件で、残りの1,484件は研究者が同ファミリー特有のフィンガープリントを開発するまで、帰属不明のままでした。

初期の分岐であるV0と呼ばれる系統からは、さらに9件のセッションが確認されています。

このキャンペーンは通常、文書や請求書、DocuSignファイルが共有されたと主張するメッセージから始まります。

分析対象となった114件のケースでは、フィッシングメールはサンドボックスに送られる前に、すでに企業のメールフィルターやセキュアメールゲートウェイを通過していました。

SharePointおよびOneDriveのリンクが最も一般的な配布手段で、351件のタスクで確認されています。

被害者が信頼済みのリンクチェーンをたどった後、KratosはCloudflare Turnstileを使って実在の人間らしい訪問者と、自動化スキャナーやサンドボックスシステムを判別します。

この検証段階の後には、偽のMicrosoft 365ログインページが表示されます。よく見られる事前ログイン画面には、アニメーションの封筒アイコン、ぼかされた文書や請求書の背景画像、そして「Loading in progress…」というメッセージが表示されます。ブラウザのタブタイトルには「Authentication」という表記がよく使われています。

このプラットフォームの主な目的は、Microsoftアカウントの窃取です。ANY.RUNは、login.live.comまたはmicrosoftonline.comを装ったページへユーザーを誘導するセッションを1,3651{,}3651,365件特定しており、そのうち412件のインシデントが偽のMicrosoft認証ページに分類されました。

盗まれた認証情報は、ビジネスメール詐欺(BEC)、請求書詐欺、SharePointおよびOneDriveのデータ窃取、そして信頼された企業メールボックスを悪用したさらなる攻撃につながる恐れがあります。

Image

Kratosはこれまでに3世代のページを経て進化してきました。V0系統は「Secure File Access」という誘い文句を使用し、認証情報を/PTT/SOft/mini.phpに送信していました。主流のV1系統(1,397セッション)は、Microsoftのサインイン画面を模倣し、データをnext.phpに送信します。観測された亜種にはnex.phpやn3xt.phpも含まれます。

ANY.RUNの研究者によると、この攻撃に関連する主要な亜種にわたって1,628件のサンドボックスセッションが特定されています。V2は難読化されたJavaScriptを使用し、取得したデータをsave.php経由で送信します。

Kratos PhaaSが狙うMicrosoft 365

研究者によると、V1を検知するうえで特に信頼性の高い手がかりとなる2つのアセットが、barr.svgとlg.svgです。

Image

この2つは1,397件のセッションで同時に出現しており、単独で出現することはまれでした。テストでは、およそ90%の再現率とほぼゼロの誤検知率を示しています。

V2系統は、dsa.svg、sid.gif、imag.jpgの組み合わせによって識別できます。

今回の調査では、少なくとも2025年9月から稼働している運用者側のKratosパネルの存在も確認されました。

このパネルを使うことで、アフィリエイト(加盟業者)はフィッシングドメインの展開、ページファイルのアップロード、TLS証明書のインストール、DNS設定の変更、地理的制限の適用、reCAPTCHAやhCaptcha、Cloudflare Turnstileといった不正ボット対策の選択などが行えるとされています。運用者は、Telegramボット経由またはメールでの盗取データの受け取り方法を設定することも可能です。

被害の対象は20カ国以上に及びます。ANY.RUNは、誘導文中のSharePointテナント名から148の組織が標的になったとみられることを特定しており、米国、スペイン、南欧に特に集中しています。

Image

factura、abogados、dgtといったスペイン語のURLトークンが使われていることから、一部のアフィリエイトはスペイン語圏の標的に重点的に狙いを定めているとみられます。

セキュリティチームは、/assets/img/barr.svgと/assets/img/lg:svgへの対になったリクエスト、next.phpやsave.phpへの不審なPOSTリクエスト、そしてTurnstile検証の後に表示されるMicrosoftを模したページを監視対象とすべきです。

Securityawareness training

アナリストは、WebSocket接続についても潜在的なリスク信号として扱うべきですが、これだけでは中間者攻撃によるセッション窃取を単独で証明するものではありません。

ユーザーが認証情報を入力してしまった場合、対応チームはアクティブなセッションとリフレッシュトークンを無効化し、パスワードをリセットしたうえで、受信トレイのルールやOAuth許可を調査し、SharePointおよびOneDriveのアクセス状況を確認し、不正なメール送信活動がないか調べる必要があります。

攻撃者がすでに有効なセッションを取得している場合、パスワードのリセットだけでは不十分な可能性があります。

IOC(侵害指標)

Indicator Type
dwbud.vilaribit[.]com サブドメイン / V0(PTT/Soft)に関連する初期ドメイン
41.128.0.142 IPv4アドレス — 報告されている運用者インフラ、エジプト
abal[.]my ドメイン
starwellmedia[.]com ドメイン
aabiz[.]de ドメイン
aspireglobal[.]ltd ドメイン
buenne[.]de ドメイン
dufllot[.]sbs ドメイン
enerdizerandtron[.]de ドメイン
espaciocf[.]de ドメイン
ihrsupportcenter[.]de ドメイン
ilersls[.]org ドメイン
aaalen[.]de ドメイン
rundwasser[.]de ドメイン
smartcontrolengineer[.]com ドメイン
sonnenbrillenspot[.]de ドメイン
trisrnareprjdocz[.]com ドメイン

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されることを防ぐため、意図的に無害化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理されたスレットインテリジェンス基盤内でのみ行ってください。

𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 — 2026年、どちらが最適か?コスト、自動化、対応力を比較: 無料ガイドをダウンロード

翻訳元: https://gbhackers.com/kratos-phaas-targets-microsoft-365/

ソース: gbhackers.com