サイバーセキュリティ研究者は、高度な脅威アクターが、Microsoft Azure、Google Cloud、AWS CloudFront など主要テクノロジープロバイダーの正規のクラウドおよびコンテンツ配信ネットワーク(CDN)インフラを悪用し、従来のセキュリティ検知メカニズムを回避しながらフィッシングキットをホスティングするという憂慮すべき傾向を特定しました。
これらの信頼されたプラットフォームの悪用は、ネットワークトラフィックが一見正当なものに見えつつ悪意を隠すため、企業のセキュリティチームにとって重大な死角を生み出します。
フィッシングキャンペーンを追跡するセキュリティ研究者は、Microsoft、Google、Cloudflare といったインフラ提供者に寄せられた本来の信頼を悪用し、信頼されたクラウドプラットフォーム上に複数のフィッシングキットが展開されていることを記録しています。
新たに登録された悪性ドメインではなく既存のクラウドサービスを活用することで、攻撃者は不審なドメイン登録を検知する多くのシグネチャベースの検知システムを回避します。
これらのフィッシング活動は高度なターゲティングを示しており、キャンペーンの効果を最大化するために企業ユーザーや法人アカウントに焦点を当てています。
特定されたキャンペーンには、Microsoft Azure Blob Storage(alencure.blob.core.windows.net)上でホストされる Tycoon フィッシングキット、無料メールドメインに対する選別フィルタリングを伴って Google Firebase Cloud Storage を悪用する Sneaky2FA の亜種、そして Google Sites 上でホストされる EvilProxy インフラが含まれます。
さらに、AWS CloudFront インフラ全体での悪用も確認されており、攻撃者がグローバルに分散された高性能ネットワークを介してフィッシングペイロードを配布できるようになっています。
Sneaky2FA キャンペーンはこれらの活動の高度さを象徴しており、流入トラフィックを特にフィルタリングして法人メールアカウントを狙い、無料メールドメインを拒否します。
攻撃者は、企業の認証パターンに照らして資格情報を検証する 偽の Microsoft 365 ログイン画面を展開することでこれを実現し、高価値ターゲットに対するアカウント侵害の成功可能性を高めています。
現在のセキュリティ手法における重大な脆弱性は、多くのベンダーがこれらのドメインを正規のインフラ提供者としてホワイトリスト登録している点にあります。
技術的には正しいものの、この一律の信頼は検知のギャップを生みます。
従来の境界防御やメールフィルタリングソリューションは、信頼されたクラウドインフラ経由で配信されるフィッシングコンテンツの検知に苦戦します。ネットワーク上の挙動が通常に見え、トラフィックが正規の提供者を通過するためです。
セキュリティチームは、これらの脅威を特定するためにドメインレピュテーションやシグネチャベースの検知だけに依存することはできません。
代わりに、効果的な検知には、ホスティング基盤に関係なくフィッシングコンテンツを特定するための行動分析機能とネットワークレベルのシグナル検知が必要です。
ネットワーク挙動、ユーザー操作パターン、ペイロードの検査を動的に分析することで、静的なドメインレピュテーションシステムが見落とす悪意を明らかにできます。
研究者は、サンドボックスベースの脅威インテリジェンスプラットフォームが数分以内にこれらのキャンペーンを露呈させ、平均検知時間(MTTD)と平均対応時間(MTTR)を大幅に短縮できると指摘しています。
実際のペイロードの挙動とネットワーク通信を分析することで、セキュリティチームは正規プラットフォーム上にホストされたフィッシングインフラを特定しつつ、正規のクラウドサービスをホワイトリスト登録する能力も維持できます。
これらのキャンペーンに関連する複数の侵害指標(IOC)も特定されており、mphdvh.icu、kamitore.com、aircosspascual.com、Lustefea.my.id などが含まれます。
セキュリティチームは、脅威インテリジェンスプラットフォームを用いて複数のクラウドプラットフォームにまたがる関連フィッシングインフラを検索し、既知の IOC からピボットして追加のキャンペーンインフラを発見できます。
同様のフィッシング活動を特定したい組織にとっては、blob.core.windows.net、firebasestorage.googleapis.com、sites.google.com 上でホストされる「フィッシング」と分類されたドメインを検索するなど、特定プラットフォームを対象とした脅威インテリジェンスクエリにより、未発見の追加キャンペーンが明らかになる可能性があります。
このアプローチは、検知の焦点をドメイン登録パターンからホスティングインフラの悪用パターンへと移します。
フィッシング手口の継続的な進化は、従来の境界制御と高度な行動分析およびネットワークインテリジェンス機能を組み合わせた多層的なセキュリティアプローチの必要性を示しています。
脅威アクターが信頼されたインフラを悪用し続ける中、組織は従来のセキュリティアーキテクチャにおけるこの死角を考慮した検知戦略を採用しなければなりません。
翻訳元: https://cyberpress.org/hackers-abuse-legitimate-cloud-and-cdn/