マイクロソフトは、エネルギー関連組織を標的とした新たなフィッシングキャンペーンにおいて、脅威アクターがペイロード配信のためにSharePointを悪用していると警告している。
マイクロソフトが分析したある多段階攻撃は、中間者(AitM)フィッシングから始まった。被害者は、信頼している組織の侵害されたアカウントからメールを受け取った。
そのメッセージは文書共有ワークフローを装った内容で、SharePointのURLが含まれており、被害者をMicrosoftの資格情報の入力を促すランディングページへ誘導した。
次に攻撃者はビジネスメール詐欺(BEC)に向けた準備を行い、侵害した受信トレイにアクセスして、すべてのメッセージを既読にして受信メールを削除するルールを作成した。その後、別のフィッシングURLを含むフィッシングメールを、被害者の連絡先に600通以上送信した。
「受信者は、侵害されたユーザーの受信トレイにある直近のメールスレッドに基づいて特定された」とマイクロソフトは説明している。
攻撃者は侵害されたアカウントを監視し、未配達通知や不在通知の返信、さらにフィッシングメールの真正性に疑問を呈した受信者からのメッセージも削除していた。
「その後、メールと返信はメールボックスから削除された。これらの手法はあらゆるBEC攻撃で一般的であり、被害者に攻撃者の活動を気づかせないことで、持続性の確保に役立つことを意図している」とマイクロソフトは説明している。
同社によれば、攻撃者はフィッシングURLをクリックした組織内の受信者に対して、さらに別のAitM攻撃を仕掛けた。
こうした攻撃から身を守るため、組織には多要素認証(MFA)の実装と、Microsoft Entraでの条件付きアクセス ポリシーの有効化が推奨されている。
しかし、AitM攻撃はサインイン セッションの侵害につながるため、対処には侵害されたユーザーのパスワードをリセットするだけでなく、セッションの失効と、MFAが改ざんされていないことの確認も必要となる。
「AiTMフィッシングはMFAの回避を試みるものの、MFAの実装はIDセキュリティの不可欠な柱であり、幅広い脅威を阻止するうえで非常に有効だ。そもそも脅威アクターがAiTMのセッションCookie窃取手法を開発したのは、MFAが理由である」とマイクロソフトは指摘している。
継続的アクセス評価の実装、パスワードレス サインイン、エンドポイント セキュリティ ソリューションでのネットワーク保護の有効化、モバイル端末へのセキュリティ ソリューションの導入、悪意のあるWebサイトを自動的に識別してブロックするブラウザーの使用も、これらの攻撃に伴うリスクの軽減に役立つ。
翻訳元: https://www.securityweek.com/phishers-abuse-sharepoint-in-new-campaign-targeting-energy-sector/
