「NEW Purchase Order # 52177236.pdf」という名称の武器化されたPDF文書を利用し、正規のクラウド基盤と暗号化メッセージングアプリを悪用して企業の認証情報を窃取する高度なフィッシングキャンペーンが確認されました。
この攻撃ベクターは、セキュリティ研究者が顧客から報告されたブロック済みリンクを分析したことで明らかになり、標準的なメールセキュリティフィルターを回避するために設計された複雑な難読化チェーンが判明しました。
攻撃は、通常の業務文書を装ったPDF添付ファイルを含む偽装メールから始まります。ファイルを開くと、ユーザーには「購入注文書を表示」するよう促すボタンが表示されます。
文書は、信頼性を高めるために正式な挨拶「Estimado」まで用いており一見プロフェッショナルに見えますが、ボタンにカーソルを合わせると、ionoscloud.comのサブドメインを指す長いURLが表示されます。
疑いのないユーザーがリンクをクリックすると、ログインフォームを表示する不正なWebページへリダイレクトされます。コンバージョン率を高めるため、攻撃者は標的のメールアドレスが事前入力されるようサイトを偽装していました。
プロンプトは明確に「業務用メール」を要求しており、Microsoft Outlook、Google Workspace、VPN、給与システムなどの高価値なエンタープライズサービスの認証情報を収集することを狙った標的型の試みであることが示されています。
このキャンペーンの回避戦略の重要な要素は、フィッシングのランディングページをIONOS Cloud上でホスティングしている点です。IONOSは、Amazon AWSやMicrosoft Azureに匹敵する欧州の大手ホスティングプロバイダーです。
悪意あるスクリプトを信頼性の高いインフラ上でホスティングすることで、脅威アクターは「ハロー効果」の恩恵を受けます。
セキュリティベンダーは正当なビジネスに支障をきたすことなくionoscloud.comドメイン全体を単純にブロックできないため、攻撃者はフィッシングサイトを迅速に立ち上げ、変更し、ローテーションさせることが可能になります。
技術分析:Telegramとの接続
攻撃チェーンをさらに分析したところ、11万3,000行を超えるコードを含む高度に難読化されたJavaScriptファイルが見つかりました。
研究者は、実行コマンドを置き換えて基盤となるHTMLをエクスポートし、その後コード文字列のエスケープを解除することで、スクリプトの難読化解除に成功しました。
分析により、単純な認証情報の窃取を超える悪意ある仕組みが明らかになりました。スクリプトはipapiサービスを用いて、以下を含む広範なフィンガープリンティングデータを収集します。
- ブラウザおよびオペレーティングシステムの詳細。
- システム言語と画面解像度。
- ユーザーの位置情報とCookie。
特に注目すべきは、流出(エクスフィルトレーション)手法が従来のコマンド&コントロール(C2)サーバーを回避している点です。代わりに、盗まれたデータは直接TelegramボットへPOSTされます。
スクリプトにはTelegramのチャットID(5485275217)がハードコードされており、認証情報とフィンガープリンティングデータが攻撃者のプライベートチャットへ即座に転送されるようになっています。
このリアルタイム送信により、サイバー犯罪者は盗んだ認証情報を企業ネットワークに対してほぼ即座に試すことができます。
緩和策
セキュリティ専門家は、業務フローにおけるファイル形式としての信頼性の高さから、フィッシングにおけるPDFの利用が増加していると警告しています。これらの攻撃に対抗するため、組織には次の対策が推奨されます。
- 添付ファイルの検証: 依頼していないPDFはすべて慎重に扱い、別の手段で送信者を確認する。
- リンクの確認: PDF内のリンクにカーソルを合わせて確認することが重要。ただし、正規のクラウドサブドメインが使われると目視での判別が難しくなる場合がある。
- パスワードマネージャーの使用: パスワードマネージャーは一致しないドメインでは認証情報を自動入力しないため、見た目が似たフィッシングサイトに対する有効なフェイルセーフとなる。
- エンドポイント保護の導入: 親ドメインが正規であっても、既知の悪性サブドメインへの接続をブロックするにはリアルタイムのWeb保護ツールが必要。
翻訳元: https://gbhackers.com/pdf-purchase-orders/
