サイバー犯罪者がAtlassian Jira Cloudを悪用して、投資家と政府機関を標的とした大規模スパムキャンペーンを展開しました。これらの攻撃は2025年12月下旬から2026年1月下旬にかけてプラットフォームの信頼できるメールシステムを悪用し、強力なドメイン評判を利用してフィルタを回避していました。
脅威行為者は、ランダム化された名前で無料トライアルアカウントを使用して使い捨てのJira Cloudインスタンスを作成し、正規のAWSインフラストラクチャ上のIP 13.227.180.4でホストしていました。
このセットアップにより、カスタムドメインや所有権検証を必要とせず、atlassian.netの送信者評判のみに依存して、悪意のあるアクティビティを通常のAtlassianトラフィックに混在させることができました。
彼らはJira Automationルールを使用して統合プラットフォーム経由で作成されたメールを送信し、疑わしい一括ユーザー招待を回避して警戒を与えないようにしていました。
受信者がプロジェクトに参加する必要がなかったため、匿名での広範囲にわたる配信が可能となり、従来のフィルタが信頼するSPFおよびDKIM確認をパスしていました。
メールはエンゲージメントを高めるために、英語、フランス語、ドイツ語、イタリア語、ポルトガル語、ロシア語でローカライズされた件名を含んでいました。
ロシア語のおとりはルーブルと独占的な投資に言及し、その他はゲームボーナスや「Application No.<random> Your confirmation is required.」などの確認を宣伝していました。
リンクはgo.sparkpostmail1.comという正規のメールサービス経由でルーティングされ、その後Keitaro Traffic Distribution Systemを通じてカジノと投資詐欺サイトへと誘導していました。
標的はJiraを使用する組織で、高量取引部門が多く、そのような通知に対する親しみやすさを悪用していました。Trend Microが事前にAtlassianに通知していました。
組織は異常なAtlassian.netメール、特に金融的なおとりや変わった件名を含むものをスキャンすべきで、SPF/DKIMを超えた行動分析のためAI駆動ツールを使用する必要があります。URLの書き換えとリダイレクトを実装し、トライアルアカウント作成のパターンを監視してください。
評判に関わらず、SaaS通知への信頼を再評価し、潜在的な脅威として扱ってください。Atlassianユーザーはより厳密なオートメーション制御を有効にし、悪用のためのログを確認できます。統合メールセキュリティなどの高度なプラットフォームは、リアルタイムでSaaS悪用を検出するのに役立ちます。
翻訳元: https://cyberpress.org/atlassian-cloud-powers-spam-scams/