HubSpotユーザーを標的とする新たなフィッシングキャンペーンが、正規のメールプラットフォームや侵害されたWebサイトへの信頼を悪用することで、従来のメール防御をすり抜けています。
Evalianの研究者は、この攻撃が、疑いを持たない受信者にとっては日常的に見える、完全に認証されたメールを通じて認証情報を窃取するペイロードを配信することを突き止めました。
この手法は「…信頼された評判により、メールがセキュアメールゲートウェイ(SEG)を回避できるようにした」と研究者は述べています。
正規のメールサービスを介したフィッシング
フィッシングメールはHubSpotから送信されたと主張し、マーケティングキャンペーンにおける配信停止率が異常に高いと受信者に警告します。これは、不審に思わせずに緊急性を促すよう設計されたメッセージです。
攻撃者はメール本文に悪意のあるURLを埋め込む代わりに、送信者の表示名にフィッシングリンクを挿入しました。これは、セキュアメールゲートウェイが見落としがちなフィールドです。
研究者によると、攻撃者は正規の企業メールアカウントを侵害しました。その後、MailChimpを使用してメッセージを大規模に配信しました。
これにより、プラットフォームの強力な送信者レピュテーションと有効なメール認証により、メールはスパムフィルタを回避できました。
フィッシング攻撃チェーンの内部
この攻撃チェーンは、あらゆる段階で正当なものに見えるよう設計されており、ユーザーの疑念を最小化し、自動化された防御を回避します。
受信者がフィッシングメール内のリンクをクリックすると、まず侵害された正規サイトであるcanvthis[.]comを経由してリダイレクトされます。
実在し、以前は信頼されていたドメインを利用することで、攻撃者はレピュテーションベースのフィルタリングやURL検査を回避でき、セキュアWebゲートウェイによってリダイレクトが許可される可能性が高まります。
そこからユーザーは、HubSpotのログイン体験を極めて忠実に再現するよう作られたフィッシングドメインへ転送されます。
このページはHubSpotのブランド、レイアウト、認証フローを模倣しており、ユーザーが本物のポータルと見分けるのは困難です。
このリアリティによりためらいが減り、特にSaaSへのログインに慣れているユーザーでは、認証情報の送信率が高まります。
認証情報が入力されると、HTTP POSTリクエストを介して攻撃者が管理するバックエンドへ持ち出されます。
インフラ分析により、このバックエンドはIPアドレス193[.]143[.]1[.]220に追跡され、ASN AS198953(Proton66 OOO)内でホストされていることが判明しました。これはロシアのブレットプルーフホスティングと頻繁に関連付けられる自律システムです。
オープンソースインテリジェンスは、このインフラが複数のフィッシングキャンペーンで再利用されていることを示しており、一度きりの攻撃ではなく、再現可能でスケーラブルな運用であることを示唆します。
ホストの追加分析では、フィッシングインフラに共通する指標が明らかになりました。具体的には、自動生成された*.plesk[.]pageホスト名、公開アクセス可能なPlesk管理インターフェース、自己署名のTLS証明書などです。
サーバーは、SMTP、IMAP、ManageSieveを含む完全なメールスタックを、複数のWebおよび管理用ポートとともに公開しています。
この過度に露出した構成により、攻撃者はフィッシングページを迅速に立ち上げ、メール配信を管理し、ドメインやコンテンツを最小限の手間でローテーションできます。これがキャンペーンの有効性と持続性に寄与しています。
認証済みメール攻撃によるリスクの低減
現代のフィッシングキャンペーンは、従来の防御を回避するために、信頼されたインフラや認証済みメールを悪用する傾向を強めています。
その結果、これらの攻撃を防ぐには、基本的なフィルタリングやユーザーの注意喚起だけでは不十分です。
- 送信者の表示名、リダイレクトチェーン、標準的でないURLの配置を検査することで、認証済みメールも悪意がある可能性があるものとして扱う。
- 正規ドメインに紐づく異常な挙動を把握するため、監視対象としてクラウドメールプラットフォームや信頼された送信サービスを監視する。
- フィッシングのクリック後に不審なログイン活動が続く、といったパターンを検出するため、メール、Web、IDのテレメトリを相関させてパターンを検出する。
- 侵害された正規サイト、使い捨てホスティング、Plesk管理のVPSホスト、ブレットプルーフASNなどを含む、フィッシングインフラの指標をハンティングする。
- MFAまたはフィッシング耐性のある認証を強制し、リスクの高いログインに条件付きアクセスを適用することで、認証情報の悪用を減らす。
- 疑わしい認証情報漏えいに備えたユーザー教育、フィッシングシミュレーション、迅速な対応プレイブックを通じて、備えを強化する。
これらの対策を組み合わせることで、認証情報の露出を抑え、信頼されたプラットフォームの悪用検知を改善し、フィッシング起因のインシデントに対する組織の対応力を強化することで、リスク低減に役立ちます。
信頼が攻撃ベクトルになるとき
このキャンペーンは、フィッシング戦術におけるより広範な変化を反映しています。攻撃者は基本的ななりすまし手法から離れ、代わりに評判の高いサービスや完全に認証されたインフラを悪用しています。
信頼されたプラットフォームや正規ドメインを活用することで、これらのキャンペーンは既存の信頼モデルを突いて技術的制御を回避し、より効果的にユーザーへ到達します。
攻撃者が認証済みシステムに対する暗黙の信頼をますます悪用するにつれ、これらの傾向は、正当性を前提にするのではなく、ユーザー、デバイス、アクセスを継続的に検証するゼロトラストアプローチの必要性を一層強めています。
翻訳元: https://www.esecurityplanet.com/threats/hubspot-phishing-campaign-bypasses-trusted-email-defenses/
