Oktaは、音声ベースのソーシャルエンジニアリング(ビッシング)攻撃向けに特別に作られたカスタムのフィッシングキットについて警告しています。BleepingComputerは、これらのキットがデータ窃取のためにOkta SSOの認証情報を盗むアクティブな攻撃で使用されていることを確認しました。
Oktaが本日公開した新しいレポートで研究者らは、これらのフィッシングキットが「as a service(サービスとして)」モデルの一部として販売されており、Google、Microsoft、OktaなどのIDプロバイダーや暗号資産プラットフォームを標的に、複数のハッキンググループによって積極的に利用されていると説明しています。
一般的な静的フィッシングページとは異なり、これらの中間者(adversary-in-the-middle)プラットフォームは、音声通話を介したライブのやり取りを前提に設計されており、通話の進行に合わせて攻撃者がコンテンツを変更したり、ダイアログをリアルタイムで表示したりできます。
これらのフィッシングキットの中核機能は、通話者が被害者の認証プロセスを直接制御できるスクリプトを通じて、標的をリアルタイムに操作することです。
被害者がフィッシングページに認証情報を入力すると、その情報は攻撃者に転送され、攻撃者は通話中のままサービスへのログインを試みます。
出典: Okta
サービスがプッシュ通知やOTPなどのMFAチャレンジを返すと、攻撃者は新しいダイアログを選択し、被害者がログインを試みた際に目にする内容に一致するようフィッシングページを即座に更新できます。この同期により、不正なMFA要求が正当なものに見えてしまいます。
Oktaによると、これらの攻撃は綿密に計画されており、脅威アクターは標的となる従業員について、使用しているアプリケーションや、企業のITサポートに紐づく電話番号などを含む偵察を行います。
その後、カスタマイズしたフィッシングページを作成し、偽装した社内番号やヘルプデスク番号を使って被害者に電話をかけます。被害者がフィッシングサイトでユーザー名とパスワードを入力すると、その認証情報は攻撃者のバックエンドへ中継され、一般的には脅威アクターが運用するTelegramチャンネルに送られます。
これにより攻撃者は、MFAチャレンジを表示する本物の認証試行を直ちに開始できます。脅威アクターが標的と通話している間に、被害者にMFAのTOTPコードをフィッシングサイトへ入力するよう誘導し、それを傍受してアカウントへのログインに利用します。
Oktaは、攻撃者が被害者に選ぶべき番号を指示できるため、これらのプラットフォームは番号一致を含む最新のプッシュ型MFAを回避できると述べています。同時に、フィッシングキットのC2がWebサイト側で一致するプロンプトをブラウザに表示させます。
Oktaは顧客に対し、Okta FastPass、FIDO2セキュリティキー、またはパスキーなどのフィッシング耐性のあるMFAを使用することを推奨しています。
データ窃取に利用される攻撃
この勧告は、BleepingComputerが、Oktaが今週初めに進行中のソーシャルエンジニアリング攻撃について顧客のCISOに非公開で警告していたことを把握したことを受けたものです。
月曜日、BleepingComputerは、脅威アクターが標的企業の従業員に電話をかけ、Okta SSOの認証情報を盗んでいることを知り、Oktaに連絡しました。
OktaはクラウドベースのIDプロバイダーで、多くの広く利用されているエンタープライズ向けWebサービスやクラウドプラットフォームの中央ログインシステムとして機能します。
同社のシングルサインオン(SSO)サービスにより、従業員はOktaで一度認証すれば、再度ログインすることなく自社で利用している他のプラットフォームへアクセスできます。
Okta SSOと統合されるプラットフォームには、Microsoft 365、Google Workspace、Dropbox、Salesforce、Slack、Zoom、Box、Atlassian JiraおよびConfluence、Coupaなど、さらに多数が含まれます。
ログイン後、Okta SSOユーザーには自社のすべてのサービスやプラットフォームを一覧表示するダッシュボードへのアクセスが付与され、クリックして各サービスにアクセスできます。これによりOkta SSOは、企業全体のサービスへのゲートウェイとして機能します。
出典: Okta
同時に、これは脅威アクターにとってプラットフォームが非常に価値の高いものになることも意味し、企業で広く使われているクラウドストレージ、マーケティング、開発、CRM、データ分析プラットフォームへのアクセスを得られるようになります。
BleepingComputerが把握したところによると、これらのソーシャルエンジニアリング攻撃は、脅威アクターが従業員に電話をかけ、企業のIT担当者になりすますことから始まります。脅威アクターは、Okta SSOサービスへのログイン用にパスキーを設定する手助けを申し出ます。
攻撃者は従業員をだまして、SSOの認証情報とTOTPコードを捕捉するよう特別に作られた中間者型フィッシングサイトへ誘導します。攻撃の一部は、以前 inclusivity-team[.]onrender.com でホストされていたSocket.IOサーバーを介してリアルタイムに中継されていました。
フィッシングWebサイトは企業名にちなんで命名されており、一般的に「internal」や「my」という単語を含みます。
例えばGoogleが標的の場合、フィッシングサイト名は googleinternal[.] com や mygoogle[.]com のようになる可能性があります。
従業員の認証情報が盗まれると、攻撃者はOkta SSOダッシュボードにログインしてアクセス可能なプラットフォームを確認し、そこからデータを窃取します。
「当社は、ソーシャルエンジニアリングに基づくフィッシング攻撃を用いて従業員のSSO認証情報を侵害し、貴社のリソースへ不正アクセスを取得しました」と、脅威アクターが被害者に送付し、BleepingComputerが確認したセキュリティレポートには記されています。
「当社は複数の従業員に連絡し、そのうち1人にTOTPを含むSSO認証情報を提供させました。」
「その後、従業員のOktaダッシュボード上でアクセス可能な各種アプリを確認し、機微情報を扱うものを探しました。Salesforceからのデータ持ち出しは非常に容易であるため、主にSalesforceから流出させました。Salesforceの利用は避け、別のものを使うことを強く推奨します。」
検知されると、脅威アクターは直ちに企業へ恐喝メールを送り、データ公開を防ぐための支払いを要求します。
情報筋によると、脅威アクターが送った恐喝要求の一部は、昨年の多数のデータ侵害(広範なSalesforceデータ窃取攻撃を含む)の背後にいることで知られる著名な恐喝グループShinyHuntersの名で署名されているものもあるとのことです。
BleepingComputerはShinyHuntersに、これらの攻撃の背後にいるのか確認を求めましたが、コメントを拒否しました。
現時点でBleepingComputerは、脅威アクターがフィンテック、ウェルスマネジメント、金融、アドバイザリー分野の企業を引き続き積極的に標的にしていると聞いています。
Oktaは、これらの攻撃に関する当社の質問に対し、BleepingComputerに次の声明を共有しました。
「お客様の安全確保は当社の最優先事項です。OktaのDefensive Cyber Operationsチームは、Oktaのサインインページを模倣するよう構成されたフィッシング基盤を日常的に特定し、その調査結果をベンダーに積極的に通知しています」と、BleepingComputerに送られた声明には記されています。
「フィッシングキャンペーンがいかに高度かつ悪質になっているかは明らかであり、企業がシステムを保護するために必要なあらゆる対策を講じ、従業員に対して警戒を要するセキュリティのベストプラクティスを継続的に教育することが極めて重要です。」
「当社は、お客様がソーシャルエンジニアリング攻撃を特定し防止できるよう、ベストプラクティスと実践的なガイダンスを提供しています。これには、このセキュリティブログで詳述した推奨事項https://www.okta.com/blog/threat-intelligence/help-desks-targeted-in-social-engineering-targeting-hr-applications/ および本日公開したブログhttps://www.okta.com/blog/threat-intelligence/phishing-kits-adapt-to-the-script-of-callers/に記載されています。」
