Microsoft Defenderの研究者は、エネルギー分野の組織を標的とした高度なアドバーサリー・イン・ザ・ミドル(AiTM)フィッシングキャンペーンを明らかにしました。この攻撃はSharePointのファイル共有サービスを悪用し、従来のメールセキュリティ制御を回避して、複数のユーザーアカウントを侵害しました。
攻撃は、侵害された信頼できるベンダーのメールアドレスから送信されたフィッシングメールから始まり、正規のドキュメント共有ワークフローを模倣したSharePointのURLが埋め込まれていました。
攻撃者はSharePointの企業向けとしての信頼性を利用し、標準的なメール検知メカニズムを回避する悪意のあるペイロードを配布しました。
被害者が認証してSharePointリンクをクリックすると、ログイン認証情報とセッションCookieを盗み取るよう設計された認証情報収集ページへリダイレクトされました。
認証情報の窃取に成功すると、攻撃者は別のIPアドレスからサインインし、直ちに受信トレイルールを作成して、受信するすべてのメールを削除し既読としてマークするよう設定しました。
この手口により被害者は侵害が継続していることに気づかないまま、攻撃者は大規模なフィッシングキャンペーンを開始し、最近のメールスレッドから特定した被害者の社内外の連絡先に対して600通以上の悪意あるメールを送信しました。
このキャンペーンは、攻撃者が被害者のメールボックスを監視し、Archiveフォルダーから未配達メッセージや不在通知の返信を削除することで、ビジネスメール詐欺(BEC)運用へと発展しました。
受信者がフィッシングメールの真正性に疑問を呈すると、攻撃者は侵害されたアカウントから直接返信してメッセージを偽って正当化し、その後すべての痕跡を削除しました。
組織内でフィッシングURLをクリックした受信者は、二次的なAiTM攻撃の標的となりました。
Microsoft Defender Expertsは、ランディングページのIPアドレスとサインインパターンを分析することで侵害されたすべてのユーザーを特定し、複数組織にまたがる攻撃の全容を解明しました。
Microsoftは、パスワードリセットだけではAiTM攻撃を是正できないと強調しています。組織は、アクティブなセッションCookieを失効させ、攻撃者が作成した受信トレイルールを削除し、脅威アクターによって行われたMFA設定の変更を元に戻す必要があります。
攻撃者は追加のMFA方式を登録して永続化を確立することが多く、パスワード変更後もアクセスを継続できるようにします。
侵害の指標:
攻撃者インフラのIP: 178.130.46.8, 193.36.221.10エネルギー分野の組織は、直ちに受信トレイルールを監査し、最近のサインイン活動を確認して異常なIPアドレスがないかを精査し、セッションハイジャック攻撃に対抗するために、MFAに加えてリスクベースの条件付きアクセス ポリシーを確実に適用すべきです。
翻訳元: https://gbhackers.com/aitm-attack-using-sharepoint-bypass/
