出典:Ronstik(Alamy Stock Photo経由)
Salty2FAフィッシングキットを使用した最近のフィッシングキャンペーンは、サイバー犯罪者の手口が進化し続け、敵対的なツールがほぼエンタープライズグレードのソフトウェアと同等になりつつあることを示していると、専門家は述べています。
Ontinueの研究者は、フィッシングキットを使用したキャンペーンを追跡し、サイバー犯罪者が「企業が自社システムに用いるのと同じ計画的手法」でフィッシングインフラを構築している様々な技術的イノベーションを示していると、Ontinueの脅威リサーチャーであるRhys Downing氏が火曜日に公開したブログ記事で述べています。
この新しいキットには、各セッションリクエストごとにサブドメインをローテーションする機能、正規プラットフォームを悪用して初期攻撃ベクトルを構築する機能、メッセージ誘導のテーマに合わせて企業ブランディングを動的に展開する機能、6種類の多要素認証(MFA)手法を模倣する能力、そしてセキュリティ研究者をブロックしアンチデバッグ解析を実行する高度な防御戦術など、先進的な機能が含まれています。これらの機能は、プロフェッショナルなフィッシングオペレーションが「正規のソフトウェア開発に似たものへと成熟している」ことを示していますと、彼は記しています。
Ontinueの研究者は、このキャンペーンを特定の脅威アクターに帰属させることはできませんでしたが、使用された戦術やツールを分析し、Salty2FAフィッシングキットの内部を垣間見ることで、その進化を観察することができたとDowning氏は述べています。
Salty2FAの主な特徴
投稿によると、攻撃者は9月3日に正規ドメインAha.io内でトライアルアカウントを登録し、既知の未公開企業になりすましてキャンペーンを迅速に立ち上げました。このAhaドメインのなりすましによるフィッシング誘導は、正規プラットフォームへのユーザーの信頼を悪用しているとOntinueは指摘しています。
攻撃者はこのドメイン登録を利用して、中央にクリック用リンクがあるOneDrive共有ページを素早く展開し、「知識ベースのドキュメントを共有している」と主張する誘導でキャンペーンを開始しました。しかし、Ontinueによれば、本当にSalty2FAフィッシングキットの巧妙さを示しているのは、このキャンペーンのインターフェースを支える多段階インフラです。
他のフィッシングキャンペーンやキットと同様に、攻撃者はフィッシングページをクリックしたユーザーをCloudflare Turnstile(安全なCAPTCHA代替ソリューション)にリダイレクトしましたとOntinueは述べています。また、フィッシングキットはソーシャルエンジニアリングの効果を高めるための動的ブランディング機能も実装しています。
「技術分析によると、悪意のあるインフラは企業テーマのデータベースを保持しており、被害者のメールドメインに基づいて不正なログインインターフェースを自動的にカスタマイズします」とDowning氏は記しています。つまり、name@company[.]comと入力すると、正規のロゴやカラースキーム、企業スタイルなどの企業ブランディング要素が表示されるとのことです。
「このドメインとテーマのマッピングにより、正規の企業認証ポータルの説得力のあるレプリカが作成されます」とDowning氏は述べています。さらに、このキットは医療、金融サービス、テクノロジー、エネルギー、自動車など様々な業界でカスタマイズされたブランディングをサポートしており、攻撃者に多様ななりすましの選択肢を与えています。これは、あらゆるブランドになりすます能力を誇る別のフィッシングキットDarculaとも似ています。あらゆるブランドになりすます能力を持つことを誇っています。
最後に、Salty2FAはフィッシング攻撃者に、ジオブロッキング、ASN/IPフィルタリング、JavaScriptベースのアンチデバッグなどの高度な回避機能を提供し、セキュリティ研究者やセキュリティオペレーションセンター(SOC)チームによる悪意のあるキャンペーンの特定を困難にしているとOntinueは述べています。
「フィッシングキットが適切なHTTPSを実装し、セキュリティチャレンジを通過し、ピクセル単位で正規の企業インターフェースを模倣する場合、従来の検出方法は苦戦します」とDowning氏は記しています。「すべてが正規に見える場合、ユーザーは通常の警告サインに頼ることができません。」
防御側もレベルアップが必要
実際、Salty2FAのようなフィッシングキットが正規と不正のメールやWebトラフィックの境界を曖昧にするほど高度な機能を提供しているため、組織も防御を強化する必要があるとセキュリティ専門家は述べています。これらのキットは、最も未熟なサイバー犯罪者にさえ、事前の経験なしでプロフェッショナルなフィッシングキャンペーンを展開する能力を与えています。
「Salty2FAは、フィッシングがエンタープライズグレードのオペレーションに成熟し、高度な回避戦術や説得力のあるMFAシミュレーションを備えていることを改めて示しています」とZimperiumのシニアセールスエンジニア、Brian Thornton氏は述べています。
こうした進化する脅威に対抗するために、「組織は従来のメールやネットワークセキュリティを超えた高度な多層防御が必要です。エンドポイント、モバイルデバイス、アプリまでカバーし、攻撃を検出・分析・阻止して機密データが侵害される前に対応する必要があります」と彼は指摘しています。
セキュリティチームはまた、高度なフィッシングキットによって開発されたキャンペーンに対する防御についても、考え方を転換する必要があるとKeeper SecurityのCISO、Shane Barney氏は述べています。静的な侵害指標(IOC)は信頼できず、防御側はより行動ベースのアプローチに移行すべきだと彼は述べています。
「つまり、ドメインの異常、異常なCloudflare Turnstileの応答、動的なJavaScript実行パターンなど、署名では分からない微妙な兆候を監視することが重要です」とBarney氏は述べています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/salty2fa-phishing-kits-enterprise-level