Socketの脅威リサーチチームは、Workday、NetSuite、SAP SuccessFactorsを含む企業向けHRおよびERPプラットフォームを標的とした、連携したChrome拡張機能キャンペーンを発見しました。
合計で2,300回以上インストールされた5つの悪意ある拡張機能が連携して、セッショントークンを窃取し、セキュリティ制御を妨害し、セッションハイジャックによって完全なアカウント乗っ取りを可能にします。
拡張機能のうち4つは、開発者名databycloud1104として公開されています。同時に、Software Accessというブランドの5つ目は別の名称を使用していますが、同一のインフラ、コードパターン、標的プラットフォームを共有しています。
生産性向上やアクセス制御ツールを装っているにもかかわらず、5つすべての拡張機能が、隠された認証情報の窃取とインシデント対応の妨害を実装しています。
これらの拡張機能は、「プレミアム」な企業向けツールへのアクセスを効率化し、複数のHR/ERPアカウントを管理するためのツールとして宣伝されています。
DataByCloud 2の掲載ページでは、アカウントカード、金額表示、「ACCESS TOOL」ボタンを備えた洗練されたダッシュボードが示され、複数のWorkdayまたはNetSuiteアカウントを管理する正当な方法であるかのように見せています。
Tool Access 11のような他の拡張機能は、「特別なツールへのアクセスを制限」し、「アカウントを危険にさらし得る管理機能」にユーザーが到達するのを防ぐと主張しており、脅威ではなくセキュリティ強化策として位置付けています。
こうした主張の裏で、拡張機能は企業プラットフォームに接続するための一見標準的な権限を要求しつつ、プライバシーポリシーでは「データを収集または使用しない」と虚偽の記載をしています。
実際には、分析により明らかになったのは、攻撃的なCookie抽出、未開示のネットワーク経由の持ち出し、そしてセキュリティおよびインシデント対応ページの標的型ブロックです。
3本立ての攻撃チェーン
Socketの分析によると、このキャンペーンは5つの拡張機能全体で、連携した3種類の攻撃に依存しています。
1.Cookieの持ち出しと永続的なセッション監視
DataByCloud Access、Data By Cloud 1、Software Accessは、Workday、NetSuite、SuccessFactorsの認証トークンを保持する__session Cookieを抽出します。
これらの拡張機能は標的ドメインのすべてのCookieを取得し、__sessionをフィルタリングして値をデコードし、60秒ごとにapi.databycloud[.]comまたはapi.software-access[.]comの攻撃者管理APIへ送信します。
Cookie変更リスナーとChromeアラームを組み合わせることで、ユーザーがログアウトして再ログインしても、新しいトークンが継続的に収集されるようになっています。
2.管理ページのブロックとIR(インシデント対応)の抑止
Tool Access 11とData By Cloud 2はDOMを操作し、Workday内の重要な管理ページおよびセキュリティページへのアクセスをブロックします。
XPathで特定のページヘッダーを検出し、直ちにdocument.body.innerHTMLを消去したうえで不正なURLへリダイレクトすることで、認証ポリシー、セッション制御、パスワード変更、アカウント無効化、MFAデバイス管理、セキュリティ監査ログへのアクセスを妨げます。
厳密なMutationObserverループと定期的なページ再読み込みにより、Workdayのサンドボックス環境を含む動的コンテンツや長時間セッションでも、ブロックが継続するようにしています。
3.双方向のCookie注入とセッションハイジャック
Software Accessは窃取にとどまらず、直接的なアカウント乗っ取りを可能にします。C2サーバーから盗まれたCookieを受け取ると、拡張機能はそれらを解析し、chrome.cookies.set()を使用して攻撃者のブラウザに注入します。
これにより、脅威アクターはパスワードやMFAのチャレンジなしに被害者の認証済みセッションを引き継げるようになり、ブラウザが企業のHR/ERPアカウントへアクセスするための即席コンソールへと変わります。
これらの拡張機能は、同一のセッション抽出ロジック、セキュリティツール検出リスト、APIパス(/api/v1/mv3)を共有しており、無関係な公開者ではなく、単一の運用者がモジュール式ツールセットを運用していることを強く示唆します。
2つの亜種はDisableDevtoolライブラリを同梱して開発者ツールを検出・妨害し、Software Accessはさらに、検査中にパスワードフィールドが平文へ変換されるのを防ぐロジックを追加して、セキュリティ分析を直接妨害します。
企業向けのブランドを掲げているにもかかわらず、関連ドメインには典型的な使い捨てインフラのパターンが見られます。
ルートドメインのdatabycloud[.]comおよびsoftware-access[.]comは、404エラーまたはSSLハンドシェイク失敗を返し、コマンド&コントロール通信のためにAPIサブドメインだけが稼働したままになっています。約束された「プレミアムツール」を裏付ける正当な製品、ドキュメント、サポートの存在はありません。
企業への影響と現在の状況
SocketはGoogleのChromeウェブストアのセキュリティチームに削除要請を提出しており、企業に対しては、環境全体でChrome拡張機能を直ちに監査し、これらのファミリーに一致するものを削除し、関連するコマンド&コントロールドメインをブロックし、影響を受けた認証情報をクリーンで侵害されていないシステムからリセットすることを推奨しています。
パスワード変更、アカウント無効化、セキュリティポリシーの調整、サインオン履歴の確認といった試みは、ブラウザ内で密かに無力化されます。
執筆時点で、5つすべての拡張機能は調査中のままです。
継続的なCookie窃取、インシデント対応のブロック、自動化されたセッションハイジャックを組み合わせることで、この拡張機能クラスターは、セキュリティチームが不審なアクセスを検知できても、通常の制御手段では是正できない状況を生み出します。
翻訳元: https://gbhackers.com/five-chrome-extensions/
