新たに発見されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「VoidProxy」は、Microsoft 365やGoogleアカウント、さらにOktaのようなサードパーティ製シングルサインオン(SSO)プロバイダーによって保護されたアカウントも標的としています。
このプラットフォームは、アドバーサリー・イン・ザ・ミドル(AitM)戦術を用いて、認証情報、多要素認証(MFA)コード、セッションクッキーをリアルタイムで盗み取ります。
VoidProxyはOkta Threat Intelligenceの研究者によって発見され、スケーラブルで回避性が高く、高度なものと説明されています。
攻撃は、Constant Contact、Active Campaign、NotifyVisitorsなどのメールサービスプロバイダーで侵害されたアカウントから送信されるメールから始まります。これらのメールには短縮リンクが含まれており、複数回リダイレクトされた後に受信者をフィッシングサイトへ誘導します。
悪意のあるサイトは、.icu、.sbs、.cfd、.xyz、.top、.homeなどの使い捨ての低コストドメイン上にホストされており、Cloudflareによって実際のIPアドレスが隠されています。
訪問者はまずCloudflareのCAPTCHAチャレンジが表示され、ボットを排除し正当性を高めています。また、Cloudflare Worker環境がトラフィックのフィルタリングやページの読み込みに利用されています。
出典: Okta
選ばれた標的にはMicrosoftやGoogleのログイン画面を模したページが表示され、それ以外のユーザーは脅威のない一般的な「Welcome」ページへ誘導されます。
フィッシングフォームに認証情報が入力されると、リクエストはVoidProxyのアドバーサリー・イン・ザ・ミドル(AitM)を介してGoogleまたはMicrosoftのサーバーに中継されます。
出典: Okta
Oktaなどを利用したSSOのフェデレーテッドアカウントは、Microsoft 365やGoogle SSOフローを装った第二段階のフィッシングページにリダイレクトされます。これらのリクエストもOktaサーバーへプロキシされます。
このサービスのプロキシサーバーは、被害者と正規サービス間の通信を中継しながら、ユーザー名、パスワード、MFAコードを通過時に取得します。
正規サービスがセッションクッキーを発行すると、VoidProxyがそれを傍受し、攻撃者がプラットフォームの管理パネル上ですぐに利用できるようコピーを作成します。
出典: Okta
Oktaは、Okta FastPassなどのフィッシング耐性認証を利用しているユーザーはVoidProxyの攻撃フローから保護され、アカウントが攻撃を受けている旨の警告を受け取ったと指摘しています。
研究者の推奨事項には、機密アプリへのアクセスを管理デバイスのみに制限すること、リスクベースのアクセス制御の強制、管理アプリに対するIPセッションバインディングの利用、管理者が機密操作を試みる際の再認証の強制などが含まれます。
