サイバーセキュリティ専門家によって、Microsoft 365のOAuthワークフローを悪用した新たな標的型フィッシング攻撃の波が明らかになりました。
これらのキャンペーンは2025年3月以降Volexityによって観測されており、ロシアと関係のある脅威アクターが欧州の外交官やウクライナ当局者になりすましています。
これらのメールは、人権活動家やNGO職員を騙して、Microsoftアカウントへのアクセスを許可する認証コードを渡させようとしています。
攻撃の背後にある高度なソーシャルエンジニアリング
VolexityによってUTA0352およびUTA0355として追跡されている脅威アクターは、ターゲットを操作するために非常に個別化された手法を用いています。被害者は、ウクライナ関連の案件について会合を提案する欧州当局者を装ったSignalやWhatsApp経由のメッセージを受け取ります。
これらのやり取りは最終的に、攻撃者がMicrosoftのOAuthログインリンクを送り、ユーザーが認証後に表示されるコードの提供を求める展開へとつながります。
これらのフィッシングリンクはユーザーを正規のMicrosoftログインページにリダイレクトします。しかし、被害者が表示されたコードを(多くの場合同じメッセージアプリで)返送すると、攻撃者はそれを使ってアクセス・トークンを生成し、被害者のMicrosoft 365データのロックを解除します。
OAuth攻撃の詳細はこちら:Microsoft nOAuthの脆弱性、発見から2年後もSaaSアプリを危険にさらす
あるケースでは、UTA0352がターゲットをオンライン上にホストされたVisual Studio Codeのバージョンに誘導しました。そこで被害者は知らず知らずのうちにOAuthプロセスを開始し、認可コードの返送を求められました。これらのコードは最大60日間有効で、ユーザーのMicrosoft Graphデータへのアクセスを許可し、メールやファイルが事実上漏洩しました。
別のキャンペーンでは、VolexityはUTA0355が侵害されたウクライナ政府のメールアカウントを使い、架空の会議への招待を送信していたことを発見しました。後続のメッセージアプリでのやり取りでは、ユーザーにMicrosoftのURLを通じて認証するよう求めていました。
認証が完了すると、攻撃者はユーザーのEntra ID(旧Azure AD)に新しいデバイスを登録し、ソーシャルエンジニアリングでセキュリティを回避してメールデータをダウンロードしました。
侵害の主な兆候
Volexityは、組織が潜在的な侵害を監視するために注視すべきいくつかの兆候を挙げています:
-
Visual Studio CodeのクライアントIDを使用したOAuthログイン活動
-
insiders.vscode.devやvscode-redirect.azurewebsites.netへのリダイレクトを含むURL
-
プロキシIPアドレスに関連付けられた新規登録デバイス
-
異常な二要素認証の承認要求
-
通常のユーザー用メールクライアントと一致しないアプリID
セキュリティ企業によると、これらのキャンペーンはNGO、シンクタンク、ウクライナと関係のある個人のみを標的としています。
「これに基づき、また2025年2月に観測された類似の手法の使用から、VolexityはUTA0352およびUTA0355の両者がロシアの脅威アクターであると中程度の確信を持って評価しています」とアドバイザリには記載されています。
また同社は、これらの手法がMicrosoftの信頼されたインフラと純正アプリケーションのみを利用しているため、従来型のセキュリティ対策が効果を発揮しない可能性があると警告しています。
画像クレジット:JarTee / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/russian-hackers-target-ngos-oauth/