ロシア関連のグループはここ数カ月、複数の業界を攻撃している。
複数の脅威グループが、デバイスコード・フィッシングと呼ばれる手法を用いた攻撃を強化しており、ユーザーをだましてMicrosoft 365アカウントへのアクセス許可を与えさせている。Proofpointが木曜日に公表したレポートによると。
中国およびロシアに関係するハッカーは、ここ数カ月この手法を用いて攻撃を仕掛けている。複数の犯罪グループも同じ方法でM365ユーザーを標的にしている。
「これは、正当で信頼されている認可アクセスのワークフローを悪用するソーシャルエンジニアリング手法です」と、Proofpointのスタッフ脅威リサーチャーであるサラ・サボトカ氏はCybersecurity Diveに語った。
この手法では、ハイパーリンクのテキストの背後に埋め込まれたURL、またはQRコード内のURLを含むメッセージを送信する。ユーザーがリンクを操作すると、正規のMicrosoftデバイス認可プロセスを利用する攻撃シーケンスが開始されるとProofpointは説明している。
プロセスが始まると、ユーザーにはデバイスコードが提供される。コードはランディングページ上、または二通目のメールで届くとProofpointは述べている。ユーザーはそのデバイスコードをワンタイムパスワードとして入力するよう指示される。入力が完了するとトークンが検証され、ハッカーがM365アカウントにアクセスできるようになる。
脅威グループは、SquarePhish2やGraphishフィッシングキットといったツールを使って攻撃を実行している。Graphishフィッシングキットは、Azureのアプリ登録や、アドバーサリー・イン・ザ・ミドル攻撃で用いられるリバースプロキシ構成を活用し、非常に説得力の高いフィッシングページを作成できる。
同社は、TA2723として追跡されている犯罪アクターが、こうした攻撃に利用可能な悪意あるツールをハッキングフォーラムで販売していると警告した。研究者は、10月上旬に始まったキャンペーンでハッカーがSquarePhish2を展開したこと、またGraphishを用いた第2のキャンペーンも確認した。
UNK_AcademicFlareとして追跡されているロシア寄りのグループは、9月に初めて特定されたキャンペーンに関連している。この攻撃では、複数の政府機関および軍事組織から侵害されたメールを使用し、米国と欧州の政府、シンクタンク、高等教育、運輸部門を標的にしている。
マイクロソフトはこの研究についてコメントしなかったが、同社は2月の過去の調査レポートへのリンクを提供した。同レポートでは、Storm-2372として追跡されているロシア関連グループによるデバイスコード・フィッシングキャンペーンが概説されている。このグループは2024年8月以降、さまざまな手法を用いて同様の攻撃を行っている。
同社はまた、10月にMicrosoft Teamsに対する脅威に関するガイダンスも公開した。
