SharePointのAiTMセッションハイジャックでエネルギー企業が標的に

脅威アクターはMicrosoft SharePointのリンクを悪用し、エネルギー企業を狙ったアドバーサリー・イン・ザ・ミドル（AiTM）型のフィッシングキャンペーンを実行して、アカウントを侵害し、その後のBEC攻撃を可能にしています。

この作戦では、信頼できそうに見えるSharePointのURLと、侵害されたベンダーのメールアカウントを用いて、通常のコラボレーションのパターンに紛れ込みます。

「この攻撃は、AiTMキャンペーンの運用上の複雑さと、標準的なID侵害対応を超えた是正措置の必要性を示しています」と、Microsoftの研究者は述べています。

侵入の連鎖は、侵害された信頼できるベンダーアカウントから送信されたフィッシングメールから始まりました。

明らかに怪しいリンクや添付ファイルを使う代わりに、攻撃者は認証を必要とするSharePointのURLを埋め込み、従業員が日常的に目にする通常のドキュメント共有ワークフローを極めて忠実に模倣しました。

この手法により、キャンペーンは日常的なコラボレーション活動に溶け込み、従来のメールセキュリティ制御が悪性として検知する可能性を低減しました。

被害者がSharePointリンクをクリックすると、アドバーサリー・イン・ザ・ミドル（AiTM）による傍受のために作られた偽のログインページへリダイレクトされました。

基本的な認証情報フィッシングとは異なり、AiTM攻撃はユーザー名とパスワードだけでなく、ライブのセッションデータ（認証トークンやセッションクッキーなど）も取得するよう設計されています。

これがこれらのキャンペーンを非常に効果的にしている理由です。MFAが有効でも、攻撃者はMFAを直接突破しようとするのではなく、認証済みセッションを乗っ取ることでアクセスを得られます。

研究者はまた、アクセス獲得後に脅威アクターが迅速に動くことも観測しました。

彼らは直ちに、受信メッセージを削除しメールを既読にする悪意ある受信トレイルールを作成し、セキュリティ通知を抑制して、被害者が不審な活動に気づく可能性を下げました。

これらの制御が整うと、攻撃者は目立たないままメールスレッドを静かに監視し、進行中の会話を追跡し、次段階の作戦を準備できました。

その後、攻撃者は600通を超える大量のフィッシングメールを、被害組織の内外の連絡先に向けて送信し、侵害されたメールボックス内で見つかった直近のメールスレッドに基づいて標的を選定しました。

進行中のビジネス会話を乗っ取ることで、現実味を高め、エンゲージメント率を向上させました。

受信者が不審なメッセージに疑問を呈すると、攻撃者は侵害されたアカウントから直接返信して安心させ、その後、証拠を消して検知を遅らせるためにメールスレッドを削除しました。

Microsoftの研究者は後に、ランディング用インフラと異常なサインインパターンを分析することで追加の侵害ユーザーを特定し、このキャンペーンがエネルギー分野の複数組織に及んでいることを確認しました。

AiTMフィッシングを軽減する方法

AiTMフィッシングキャンペーンは、攻撃者が盗んだセッショントークンを使って、パスワードリセット後もログイン状態を維持できるため、従来の認証情報窃取とは異なる対応が必要です。

そのため、効果的な是正措置は、認証情報の変更だけでなく、セッションの封じ込め、メールボックスのクリーンアップ、IDの強化に重点を置くべきです。

総合的に、これらの手順は被害範囲（blast radius）を抑え、サイバーレジリエンスの強化に役立ちます。

エネルギー分野の組織にとって、このキャンペーンは、攻撃者がSharePointのような馴染みのあるクラウドコラボレーションツールを悪用し、日常的で正当なものに見える形でアクセスを得られることを示しています。

実践的でレジリエンス重視の対応としては、強力なセッション制御、フィッシング耐性のある認証、条件付きアクセスポリシーによって被害範囲を縮小しつつ、メールボックスの変更や異常な送信メール活動の可視性を高めることです。

ここでゼロトラストの原則が、アクセスを継続的に検証し被害範囲を制限することで役立ちます。