新たに追加されたブラウザーインザブラウザー機能により、このツールは脅威アクターが従業員を騙して認証情報を入力させるのを助けます。
多要素認証(MFA)が導入されて以来、脅威アクターはフィッシング攻撃に対する効果的な防御策を回避する方法を模索してきました。
最新の動きとして、Sneaky2FAフィッシング・アズ・ア・サービス(PhaaS)キットの開発者は、ブラウザーインザブラウザー(BITB)機能を追加し、被害者を騙すフィッシングページの作成を支援しています。
この機能により、攻撃者は被害者のデスクトップ上にブラウザーウィンドウを埋め込み、その中に本物そっくりのURLアドレスバーを含むフィッシングページを表示できます。たとえば、Microsoftオンラインのような正規のアドレスに見せかけることが可能です。BITBは、脅威アクターが実際のフィッシングページを含む埋め込みブラウザーウィンドウを作成する攻撃者インザミドル(AITM)攻撃とは異なります。
不審なURLを確認するよう訓練された従業員でさえ、インターネットアドレスが本物に見えるため騙される可能性があります。しかし、このポップアップウィンドウはリバースプロキシを通じて有効化されており、被害者が入力した認証情報やMFAコードを収集する悪意のあるサーバーを指すiframeが含まれています。その後、攻撃者はリアルタイムでログインすることで、ターゲットとなったアカウントのライブセッションやユーザー認証情報を盗むことができます。
CSOへの警告
今週発表されたPush Securityの研究者によるレポートは、Sneaky2FAのブラウザーインザブラウザー機能について説明しており、CSOに対して従業員のセキュリティ意識向上トレーニングや防御技術の適応が必要であると警告しています。
レポートによると、BITB戦術は広がりつつあります。Raccoon0365もBITB機能を利用したPhaaSサービスの一つであり、「BITBミニパネル」を提供に追加すると発表していました。9月には、CloudflareとMicrosoftがそのギャングのITインフラを解体しました。
BITBは2022年から概念として知られていると、カナダ拠点のセキュリティ意識向上トレーニング企業Beauceron Securityの責任者であるDavid Shipley氏は述べています。実際、MFAのようなセキュリティコントロールを突破するために、ペネトレーションテストを行う高度なレッドチームによってますます利用されています。
「組織を侵害する際にこの手法を使う必要がなかったため、広く使われてこなかった」と彼は言います。しかし、防御が強化されるにつれて、この手法の利用が増えていると見ています。
危険なのは、フィッシング・アズ・ア・サービスツールが、初心者の犯罪者でもこれらの高度な手法を簡単に使えるようにしている点だと彼は指摘します。
「だからこそ、私は『フィッシング耐性』や、さらに悪いことに『フィッシング完全防止』といった表現が使われるのがいつも嫌いでした。MFAのような追加の本人確認コントロールは摩擦や耐性を高めますが、賢い攻撃者には依然として突破される可能性があります。だからこそ、組織には堅牢な技術的セキュリティコントロールと、意識の高いコミュニティの両方が不可欠なのです。」
つまり、CSOや情報セキュリティリーダーは、年に一度のコンプライアンス重視のセキュリティトレーニングだけでなく、従業員がメッセージ内の異常に気づき、フィッシングや他のサイバー攻撃を発見・阻止できるよう動機づける必要があるとShipley氏は述べています。
「多くの組織が苦労しているのはそこです」と彼は言います。「人々に指示したり知識を伝えたりすることではなく、人々が知識を活用するよう動機づけるセキュリティ文化を作ることです。」
BITBの追加と検知回避技術の進化により、メールゲートウェイやウェブフィルター、シグネチャベースの防御など従来のセキュリティコントロールは今後も確実に回避され続けるだろうと、Push Securityのレポートは述べています。
Sneaky2FAの概要
レポートによれば、Sneaky2FAはTelegram上のフル機能ボットを通じて運用されています。顧客はライセンスされた難読化済みのソースコードにアクセスし、独自に展開できると報告されています。つまり、ニーズに合わせてカスタマイズが可能です。一方で、レポートは、コードベースの類似性からSneaky2FAの実装は確実にプロファイリング・追跡できるとも指摘しています。
レポートによれば、Sneaky2FAは悪意のあるコンテンツを分析しようとする試みを阻止するため、ブラウザーデベロッパーツールを検出・無効化するアンチ解析技術を頻繁に使用しています。
防御側は、Sneaky2FAページのHTMLとJavaScriptが静的検知やパターンマッチングを回避するために高度に難読化されていることに注意すべきだとレポートは述べています。これには、UIテキストを不可視タグで分割したり、背景やインターフェース要素をテキストではなくエンコードされた画像として埋め込んだり、ユーザーには見えないがスキャンツールによる指紋取得を困難にする変更が含まれます。
また、キャンペーンでは「バーン・アンド・リプレイス」戦術も使われており、新しく長いランダムなURLの背後に隠れ、攻撃直前まで休眠または無害なコンテンツを提供し、その後すぐに消えることが知られています。これは、ドメインの評判やパターンマッチング型防御技術を回避するためです。
いたちごっこ
Dan Green氏(Push Securityレポートの著者)は、CSOへのメールで、BITB攻撃が拡散する手段はメールだけではないと述べています。ここ数ヶ月で、彼の会社はLinkedIn MessengerやGoogle検索でも利用されているのを確認しています。
「セキュリティチームには、フィッシング検知へのアプローチを再評価することを推奨します」と彼は述べています。「(フィッシングは)ますます巧妙化しており、もはやメールだけの問題ではなく、リスクも大きい。侵害された企業クラウドアカウント(例:MicrosoftやGoogle Workspace)は、現代の業務でアクセスするすべての鍵となります。これは単に企業クラウドスイートへの直接アクセスだけでなく、攻撃者が乗っ取ることができるSSO(シングルサインオン)経由の下流アプリケーションアクセスも含みます。今日では、ほとんどの侵害がソフトウェアの脆弱性やマルウェア実行ではなく、認証情報の侵害から始まっています。」
Roger Grimes氏(KnowBe4のセキュリティ意識向上トレーニングプロバイダーのデータ駆動型防御CISOアドバイザー)は、ブラウザーベンダーが悪意のあるポップアップボックスの出現を防ぐために何十年も努力してきたが、それでも犯罪者は保護を回避する方法を見つけ続けていると指摘しました。
一方で、悪意のあるポップアップボックスを作成するのは犯罪者にとってますます難しくなっているとも彼は付け加えました。ユーザーが注意していれば、何が起きているかを確認するチャンスはまだあります。「残念ながら」と彼は言います、「多くのユーザーはそうしていません。」
ブラウザーポップアップ攻撃がどのように機能するかについて情報や事例を提供してユーザーを教育することが重要だと彼は述べています。加えて、CSOは従業員が使用するブラウザーがこの種の攻撃を防げるよう、できる限り適切に設定されていることを確認すべきです。
「ブラウザーベンダーは対応して脆弱性を塞ぎますが、防御側は常に後手に回るいたちごっこです」と彼は言います。「やがてAI対応の防御ツールが、こうした攻撃の発生自体をより効果的に防ぐようになるでしょう。それまでの間はギャップを埋める必要があります。」
