脅威アクターが、著名なテクノロジー企業のリンクラッピングサービスを悪用し、Microsoft 365のフィッシングページへ誘導する悪意のあるリンクを隠蔽して、ログイン認証情報を収集しています。
攻撃者は、サイバーセキュリティ企業Proofpointおよびクラウドコミュニケーション企業IntermediaのURLセキュリティ機能を、6月から7月にかけてのキャンペーンで悪用しました。
一部のメールセキュリティサービスには、リンクラッピング機能が含まれており、メッセージ内のURLを信頼できるドメインに書き換え、悪意のある宛先をブロックするためのスキャンサーバーを経由させます。
フィッシングURLの正当化
CloudflareのEmail Securityチームは、攻撃者がProofpointおよびIntermediaで保護されたメールアカウントを侵害した後、悪意のあるURLを正当化し、不正アクセスを利用して「洗浄」されたリンクを配布した可能性が高いことを発見しました。
「攻撃者は、Proofpointのリンクラッピングをさまざまな方法で悪用しており、侵害されたアカウントを通じてURL短縮サービスを利用した多段階リダイレクトの悪用も含まれていました」と研究者は述べています。
「Intermediaのリンクラッピング悪用も、リンクラッピングで保護されたメールアカウントへの不正アクセスを得ることに焦点を当てていました」- Cloudflare Email Security
脅威アクターは、まず悪意のあるリンクを短縮し、その後保護されたアカウントから送信することで、リンクが自動的にラッピングされるという難読化のレイヤーを追加しました。
研究者によると、攻撃者は偽のボイスメール通知や共有されたMicrosoft Teamsドキュメントの通知で被害者を誘い、リダイレクトチェーンの最後には認証情報を収集するMicrosoft Office 365のフィッシングページがありました。
出典: Cloudflare Email Security
Intermediaのサービスが悪用されたキャンペーンでは、脅威アクターは「Zix」からのセキュアメッセージ通知を装って安全なドキュメントの閲覧を促したり、Microsoft Teamsからの新着メッセージ通知を装ったメールを送信しました。
ドキュメントへのリンクとされていたURLはIntermediaのサービスによってラッピングされ、フィッシングページをホストするデジタルおよびメールマーケティングプラットフォームConstant Contactの偽ページへリダイレクトされました。
偽のTeams通知内の返信ボタンをクリックすると、Microsoftのフィッシングページに誘導され、ログイン認証情報が収集されました。
悪意のある宛先を正規のメール保護URLで偽装することで、脅威アクターは攻撃の成功率を高めていたとCloudflareの研究者は述べています。
正規のサービスを悪用して悪意のあるペイロードを配信する手法自体は新しいものではありませんが、リンクラッピングのセキュリティ機能を悪用するのはフィッシング分野における最近の動向です。
