犯罪者は、リアルタイムでのソーシャルエンジニアリング攻撃を効率化するよう設計された高度なボイスフィッシング用ツールキットを駆使している。
サイバー犯罪サービス提供者からサブスクリプション形式で購入されることが多いこれらのツールキットは、標的に対するリアルタイムのソーシャルエンジニアリングを可能にし、通常は被害者をだましてワンタイムパスワードを共有させたり、多要素認証(MFA)の確認を承認させたりすることを目的としていると、Oktaが顧客に対し、本人確認を回避するビッシング攻撃について最近警告した報告書は述べている。
Oktaが月曜日に顧客のCISOへ直接送付した非公開アラート(BleepingComputerが最初に報じた)の中で、攻撃者は標的が使用している本人確認アプリや、標的企業のITサポート・ヘルプデスクの電話番号などの知識を事前に把握した状態で臨んでいるとOktaは述べた。
Oktaはメールでこのアラートを確認した。「顧客の安全確保は当社の最優先事項です。Oktaの防御的サイバーオペレーション(Defensive Cyber Operations)チームは、Oktaのサインインページを模倣するよう設定されたフィッシング基盤を日常的に特定し、その調査結果をベンダーへ先回りして通知しています」と同社は述べた。
Hudson Rockの脅威インテリジェンス担当CTOであるAlon Galは、恐喝グループShinyHuntersが自分に連絡して犯行を名乗り出たと述べ、OktaのSSOツールを利用する多数の組織を最近侵害するために、こうした種類のボイスフィッシング用ツールキット・サービスを使用したと主張しているという。ShinyHuntersは、組織のクラウドベースのSalesforceインスタンスに保存されたデータを侵害するためにソーシャルエンジニアリング手法を用いてきた(参照:FBIの妨害後、Salesforce恐喝グループがデータを漏えい)。
最近の被害者には、自動投資および金融計画企業Betterment、企業データ情報アグリゲーターのCrunchbase、ストリーミングプラットフォームSoundCloudが含まれるようだと、Galは述べた。
「ShinyHuntersは、このキャンペーンの背後に自分たちがいることを認め、Tor上の被害者ブログを共有しました。そこでは、Crunchbase、SoundCloud、Bettermentはいずれも、グループの恐喝要求を拒否した後に、データが漏えいしたとされています。グループは、さらに多くの被害者を近く公開すると述べています」とGalは語った。
Galは、漏えいしたデータがすべて正当なものかはまだ確認できていないものの、少なくともCrunchbaseのデータには個人を特定できる情報(PII)を含むデータベースのほか、「署名済み契約書」を含むさまざまな「企業データ」が含まれていると述べた。
ShinyHuntersは、Scattered Lapsus$ Huntersなど別の名義で活動することもあり、自称The Comと呼ばれる西側の、主に思春期の若者からなるサイバー犯罪コミュニティから派生した、緩やかな連合体のグループの一つだ。この集団のメンバーは、電話を用いたビッシング攻撃でITサポート担当者になりすますことを繰り返し行ってきた。
何でもこなすフィッシングキット
フィッシング用ツールキットは、被害者に送られるフィッシングメールや、それらのメール内リンクの遷移先となる、見た目は本物そっくりだが悪意あるウェブサイトなど、攻撃のライフサイクル全体を扱う。目的は有効なログイン認証情報を盗むことだ。多くのツールキットは、この情報をリアルタイムで攻撃者に中継する。特に、ログインに必要なワンタイムパスワードや多要素認証コードを被害者から引き出そうとしている場合はなおさらである。
今日のより高度なツールキットは、音声を用いたフィッシングキャンペーンを可能にする。これは、攻撃者がだまそうとしている相手とリアルタイムで音声コミュニケーションを行っている状況を指す。
それを実現するために、ツールキットは前例のないレベルのオーケストレーションを提供する。というのも「発信者は、その場で適応させることで、ユーザーのブラウザにどのページを表示するかを制御でき、発信者の台本や、サインインを試みる際に発信者に提示される正当なMFAチャレンジと同期させられる」からだと、Oktaは報告書で述べている。
研究者によれば、これらのキャンペーンの既知の標的には、Google、Microsoft Entra、暗号資産プロバイダー、そしてOkta自身のクラウドベースのIDおよびアクセス管理サービスが含まれる。Oktaのサービスは、多数のオンプレミスおよびクラウドベースの企業アプリケーションに対するシングルサインオンを扱うことができる。
攻撃者のフィッシングページは通常、これらのサービスの正規のサインインページを模倣する。「これらのキットを使うことで、標的ユーザーと電話で話している攻撃者は、そのユーザーが認証情報フィッシングページとやり取りする際の認証フローを制御できます」と、Oktaの脅威研究者Moussa Dialloは述べた。
「攻撃者は、通話中に与えている指示と完全に同期させて、標的がブラウザで見るページを制御できます。脅威アクターはこの同期を利用して、フィッシング耐性のないあらゆる形式のMFAを突破できます」と彼は述べた。
攻撃者が盗んだばかりの認証情報でサービスにログインしようとしている場合、被害者に対してMFAのプッシュ通知が表示されるはずだと伝えることができ、「通常であれば不審に思われる、ユーザーが開始していないチャレンジを受け入れるよう求める要求にもっともらしさを与える」ことになる。
フィッシング耐性のあるMFAには、スマートカード、FIDOセキュリティキー、または暗号学的パスキーが含まれる。これらは、指定されたリソースやサービスにログインしているのがユーザー本人またはそのユーザーのシステムだけであることを保証するために使用できる。ほかのアプローチとしてはOkta独自のFastPassがあり、Dialloによれば、冗長性のためにパスキーと併用できるという。
翻訳元: https://www.databreachtoday.com/voice-phishing-okta-customers-shinyhunters-claims-credit-a-30590
