TokyoBlackHatNews

bleepingcomputer.com 5分で読了

認証情報を盗むChrome拡張機能が企業向けHRプラットフォームを標的に

Image

Chromeウェブストアで、生産性向上やセキュリティツールを装った企業向けHRおよびERPプラットフォーム用の悪意あるChrome拡張機能が発見され、認証情報を盗み取ったり、セキュリティインシデント対応に使用される管理ページへのアクセスを妨害したりしていたことが判明しました。

このキャンペーンはサイバーセキュリティ企業Socketによって発見され、Workday、NetSuite、SAP SuccessFactorsを標的とするChrome拡張機能5件を特定したとしています。これらは合計で2,300回以上インストールされていました。

「このキャンペーンは3種類の異なる攻撃を展開しています。リモートサーバーへのCookieの流出、セキュリティ管理ページをブロックするためのDOM操作、そして直接的なセッションハイジャックのための双方向Cookie注入です」 とSocketは報告しています

「これらの拡張機能は同じ企業向けプラットフォームを標的にしており、同一のセキュリティツール検出リスト、APIエンドポイントのパターン、コード構造を共有しています。別々の発行者に見えるにもかかわらず、連携した作戦であることを示しています。」

拡張機能は異なる名称で公開されていましたが、研究者によれば、同一のインフラ、コードパターン、標的設定を共有しているとのことです。4件は開発者名databycloud1104で公開され、5件目はSoftware Accessという名称で別のブランディングが使われていました。

影響を受けたユーザーは2,300人にとどまるものの、企業の認証情報の窃取は、大規模なランサムウェア攻撃やデータ窃取攻撃の引き金になり得ます。

企業ユーザー向けツールとして宣伝

Socketによると、これらの拡張機能は企業向けHRおよびERPプラットフォームのユーザーに向けて宣伝され、生産性の向上、ワークフローの効率化、またはセキュリティ制御の強化を目的としたツールであるかのように装っていました。

複数の拡張機能は、Workday、NetSuite、その他のプラットフォーム向けの「プレミアムツール」への簡易アクセスを提供すると主張していました。

より人気の高かった拡張機能の1つであるData By Cloud 2は1,000回インストールされており、複数の企業アカウントを管理するユーザー向けに、一括管理ツールとより高速なアクセスを提供するダッシュボードとして宣伝されていました。 

別の拡張機能であるTool Access 11は、機密性の高い管理機能へのアクセスを制限するセキュリティ重視のアドオンとして位置付けられていました。掲載情報では、アカウント侵害を防ぐために「特別なツール」へのユーザー操作を制限できると主張していました。

同グループの他の拡張機能も、ツールやサービスへの「アクセス」を提供するという同様の文言を用い、企業向け統合と整合するように見える権限を要求していました。

しかしSocketによれば、いずれの拡張機能もCookieの抽出、認証情報の流出、セキュリティ管理ページのブロックについて開示していませんでした。拡張機能のプライバシーポリシーにも、ユーザーデータが収集されることは記載されていませんでした。

Socketによる拡張機能の分析では、認証Cookieの流出、管理ページのブロック、Cookie注入によるセッションハイジャックなど、複数の悪意ある挙動が混在していることが確認されました。

複数の拡張機能が、標的ドメインに対して「__session」という名前の認証Cookieを継続的に抽出していました。これにはWorkday、NetSuite、SuccessFactorsの有効なログイントークンが含まれます。

Image
「__session」Cookieの窃取
出典: Socket

これらのトークンは60秒ごとにリモートのC2(コマンド&コントロール)サーバーへ送信され、ユーザーがログアウトして再ログインした場合でも、攻撃者がアクセスを維持できるようになっていました。

Tool Access 11とData By Cloud 2の2つの拡張機能は、Workday内のセキュリティおよびインシデント対応ページへのアクセスをブロックしていました。ページタイトルの検出を用い、拡張機能はページ内容を消去するか、管理者を管理ページからリダイレクトしていました。

「Tool Access 11は、認証ポリシー、セキュリティプロキシ設定、IPレンジ管理、セッション制御などを含む44の管理ページを標的にしています」とSocketは説明しています。

「Data By Cloud 2は、パスワード管理、アカウント無効化、2FAデバイス制御、セキュリティ監査ログを追加し、これを56ページに拡大しています。」

これらのページへのアクセスを遮断すると、インシデントが検知された場合に正当な管理者が対応できなくなる可能性があります。​

Tool Access 11 blocking access to security management pages
Tool Access 11がセキュリティ管理ページへのアクセスをブロック
出典: Socket

最後にSocketは、Software Access拡張機能が最も悪質な挙動を実装しており、双方向のCookie操作を可能にする機能も含んでいたと述べています。セッショントークンを盗むだけでなく、攻撃者のサーバーから盗まれたCookieを受け取り、それをブラウザに直接注入できました。

研究者によれば、C2経由で認証Cookieを設定することで、攻撃者はユーザー名、パスワード、または多要素認証コードを入力することなく、認証済みセッションを乗っ取ることが可能でした。Socketは、これにより標的となった企業向けプラットフォーム全体で即時のアカウント乗っ取りが可能になったとしています。

Socketはこれらの拡張機能をGoogleに報告しており、この記事の公開時点では削除されたように見えるとしています。

これらの拡張機能を使用していた人は、追加のインシデント対応のためにセキュリティ管理者へ報告し、標的となったプラットフォーム上のパスワードを変更する必要があります。

翻訳元: https://www.bleepingcomputer.com/news/security/credential-stealing-chrome-extensions-target-enterprise-hr-platforms/

ソース: bleepingcomputer.com
#Chrome Web Store #Cookie窃取 #NetSuite #SAP SuccessFactors #Workday #コマンド&コントロール(C2) #セッションハイジャック #企業向けHR・ERPセキュリティ #悪意あるChrome拡張機能 #認証情報窃取

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用