ReliaQuestの新たな調査によると、脅威アクターはHTTPクライアントツールであるAxiosとMicrosoftのDirect Send機能を組み合わせて、最近のフィッシングキャンペーンで「非常に効率的な攻撃パイプライン」を形成していることが明らかになりました。
「Axiosユーザーエージェントの活動は2025年6月から8月にかけて241%急増し、他のすべてのフラグ付きユーザーエージェントの合計85%の成長をはるかに上回りました」とサイバーセキュリティ企業は報告書でThe Hacker Newsに共有しました。「この期間に観測された32のフラグ付きユーザーエージェントのうち、Axiosは全活動の24.44%を占めていました。」
Axiosの悪用は、Proofpointによって2025年1月に以前にも指摘されており、HTTPクライアントを利用してWebサーバーにHTTPリクエストを送信し、HTTPレスポンスを受信することで、Microsoft 365環境へのアカウント乗っ取り(ATO)攻撃を実施するキャンペーンが詳述されていました。
ReliaQuestはThe Hacker Newsに対し、これらの活動が関連している証拠はないと述べ、さらにこのツールは人気のフィッシングキットと共に定期的に悪用されていると付け加えました。「Axiosの有用性から、あらゆるレベルや動機の脅威アクターが採用している可能性が極めて高い」と同社は述べています。
同様に、フィッシングキャンペーンではMicrosoft 365(M365)の正規機能であるDirect Sendを利用し、信頼されたユーザーになりすましてメールメッセージを配信する手法も増加しています。
Microsoft Direct Sendを通じてAxiosの悪用を拡大することで、攻撃者は信頼された配信方法を武器化し、メッセージがセキュアゲートウェイをすり抜けてユーザーの受信箱に届くようにしています。実際、AxiosとDirect Sendを組み合わせた攻撃は、最近のキャンペーンで70%の成功率を記録し、Axiosを使わないキャンペーンを「比類なき効率」で上回っています。
ReliaQuestが観測したキャンペーンは2025年7月に開始されたとされ、当初は金融、医療、製造業の幹部や管理職を標的としていましたが、その後すべてのユーザーに対象を拡大しました。
同社はこの手法を攻撃者にとってのゲームチェンジャーと呼び、従来のセキュリティ防御をより精密に回避できるだけでなく、かつてない規模でフィッシング作戦を展開できるようになったと指摘しています。
これらの攻撃では、AxiosがHTTPリクエストの傍受・改変・再送信に利用され、リアルタイムでセッショントークンや多要素認証(MFA)コードを取得したり、Azure認証ワークフローでSASトークンを悪用して機密リソースへアクセスすることが可能になります。
「攻撃者はこの死角を利用してMFAを回避し、セッショントークンを乗っ取り、フィッシングワークフローを自動化しています」とReliaQuestは述べています。「Axiosのカスタマイズ性により、攻撃者は正規のワークフローをさらに模倣するよう活動を調整できます。」
メールメッセージでは、受信者を騙してPDFドキュメントを開かせるために報酬をテーマにした誘導が使われており、PDF内の悪意あるQRコードをスキャンすると、Microsoft Outlookを模倣した偽のログインページに誘導され、認証情報の窃取が行われます。追加の防御回避策として、これらのページの一部はGoogle Firebaseインフラ上にホストされており、アプリ開発プラットフォームの信頼性を利用しています。
高度な攻撃の技術的障壁を下げるだけでなく、Axiosが企業や開発者の環境で広く使われていることから、攻撃者が通常のトラフィックに紛れ込み、検知を回避する手段にもなっています。
この脅威によるリスクを軽減するため、組織にはDirect Sendのセキュリティ強化や不要な場合の無効化、メールゲートウェイでの適切ななりすまし対策ポリシーの設定、従業員へのフィッシングメールの認識トレーニング、不審なドメインのブロックが推奨されています。
「Axiosは初期アクセスと本格的な悪用の間のギャップを埋めることでフィッシングキャンペーンの影響を増幅させます。その認証ワークフローの操作やHTTPリクエストの再送信能力により、盗まれた認証情報を大規模かつ正確に悪用できます。」
「これによりAxiosはDirect Sendフィッシングキャンペーンの成功に不可欠な存在となり、攻撃者が従来のフィッシング手法を超えて認証システムやAPIを悪用するよう進化していることを示しています。従来の防御策では対応が困難です。」
この動きは、MimecastがExpedia Partner CentralやCloudbedsといった信頼されたホテル管理プラットフォームになりすまし、ゲスト予約確認やパートナー通知を装ったメールでホスピタリティ業界の専門家を標的とした大規模な認証情報収集キャンペーンを詳述したことを受けてのものです。
「この認証情報収集作戦は、ホテル予約のやり取りという日常的な性質を利用しています」と同社は述べています。「キャンペーンでは、ホテルマネージャーやスタッフに即時の対応を促す緊急性の高いビジネスクリティカルな件名が使われています。」
また、進行中のキャンペーンとして、Salty 2FAと呼ばれる新興のフィッシング・アズ・ア・サービス(PhaaS)を利用し、Microsoftのログイン認証情報を盗み、SMS認証、認証アプリ、電話、プッシュ通知、バックアップコード、ハードウェアトークンという6つの異なる方法をシミュレートしてMFAを回避する事例も発見されています。
この攻撃チェーンでは、Aha[.]ioのようなサービスを利用して最初のランディングページを設置し、OneDriveの共有通知を装ってメール受信者を騙し、偽リンクをクリックさせて認証情報収集ページにリダイレクトさせますが、その前にCloudflare Turnstile認証チェックを完了させ、自動化されたセキュリティツールやサンドボックスをフィルタリングします。
フィッシングページには、ジオフェンシングやIPフィルタリングなどの高度な機能も含まれており、既知のセキュリティベンダーやクラウドプロバイダーのIPアドレス範囲からのトラフィックをブロックしたり、Webブラウザで開発者ツールを起動するショートカットを無効化したり、被害者ごとに新しいサブドメインを割り当てたりしています。これらの手法を取り入れることで、最終的な目的は分析を困難にすることです。
これらの調査結果は、フィッシング攻撃が高度な回避戦術や巧妙なMFAシミュレーションを活用し、信頼されたプラットフォームを悪用して企業ポータルを模倣することで、実際の活動と詐欺行為の区別をより困難にしていることを示しています。
「このフィッシングキットは、ソーシャルエンジニアリングの効果を高めるために動的なブランディング機能を実装しています」とOntinueは述べています。「技術的な分析により、悪意あるインフラが企業テーマのデータベースを維持し、被害者のメールドメインに基づいて不正なログイン画面を自動カスタマイズしていることが明らかになりました。」
「Salty2FAは、サイバー犯罪者が企業と同じような計画的手法でインフラを構築していることを示しています。特に懸念されるのは、これらの手法が正規のトラフィックと悪意あるトラフィックの境界を曖昧にしている点です。」
翻訳元: https://thehackernews.com/2025/09/axios-abuse-and-salty-2fa-kits-fuel.html