Kratos、Cloudflare Turnstileと難読化されたログインページ、PHPエンドポイントを駆使して認証情報を窃取

このキットは、信頼された各種クラウドサービス、Cloudflare Turnstileチャレンジ、精巧なMicrosoftログイン画面の偽装、そしてPHPベースの認証情報収集エンドポイントを組み合わせることで、検知を回避しながら企業の認証情報を窃取します。

この攻撃活動は、ANY.RUNのサンドボックス遠隔測定データによると2026年1月から確認されており、その運営者向けパネル自体は少なくとも2025年9月から存在していたとみられます。

研究者らは、主要な亜種に関連するサンドボックスセッションを1,628件特定しました。このうち、これまでにKratosとしてタグ付けされていたのはわずか156件で、残る1,484件は新たに帰属が判明した検出事例です。

Kratosは、フィッシングページの展開、Telegramやメールを通じた窃取データの送信設定、地理的制限の追加、さらにはCloudflare Turnstile、reCAPTCHA、hCaptchaといったアンチボットシステムの選択までを可能にする、すぐに使えるプラットフォームとして販売されています。

主な標的はMicrosoft 365です。研究者らは、被害者をlogin.live.comまたはmicrosoftonline.comを偽装したページへリダイレクトするセッションを1,365件確認しています。

攻撃者は、「ユーザーNさんがあなたとドキュメントを共有しました」「DocuSignで書類に署名してください」「請求書が送信されました」といった、文書共有や請求書をテーマにした誘い文句を多用する傾向があります。

多くのキャンペーンでは、SharePoint、OneDrive、Canva、Microsoft Forms、Tilda、systeme.ioといった信頼性の高いサービスをまず経由させる手口が用いられています。

この多段階のリダイレクトチェーンにより、悪意あるリンクがメールセキュリティツールをすり抜けやすくなります。確認された114件の事例では、フィッシングメールが企業のメールフィルターやセキュアメールゲートウェイをすでに通過した後、アナリストがサンドボックスに提出していました。

フィッシングサイトに到達すると、被害者はボットではないことを証明するよう求めるCloudflare Turnstileのプロンプトに直面する場合があります。これにより正当性を装いつつ、自動スキャナーやサンドボックスシステム、セキュリティクローラーを選別しています。

Kratosのページは一般的に、ぼかしのかかった文書や請求書の上にアニメーション化された封筒アイコンを表示し、その後偽のMicrosoftサインインフォームを表示します。

画面には「Loading in progress…」という文言が表示され、ブラウザのタブには「Authentication」というタイトルが頻繁に使われます。

このキットはこれまでに3世代にわたって進化してきました。初期のV0系統では、データ収集に/PTT/SOft/mini.phpというパスが使用されていました。

主流であるV1世代では、入力された認証情報がnext.phpへ送信されますが、研究者らはnex.php、n3xt.php、officers*eur.phpといった亜種も確認しています。

より新しいV2世代は難読化されたJavaScriptを使用し、窃取した認証情報をsave.phpへ送信するとANY.RUNは述べています。V1では、submitData()というページ関数が、diやprを含む値を収集エンドポイントへ送信します。

被害者に許されるパスワード入力の試行回数はわずか3回で、それを超えるとサイトはoffice.comのような正規サイトを装った送信先へリダイレクトするか、パスワード誤りのエラーを表示します。

この仕組みにより、攻撃者は実際に入力された情報とランダムなテストデータを区別しやすくなります。一部のセッションではWebSocket接続も確立されていました。

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(defang、例: [.])しています。再有効化(re-fang)は、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから得られるライブ脅威フィードを統合する

翻訳元: https://cyberpress.org/kratos-credential-theft-infrastructure/

ソース: cyberpress.org