Microsoftが、正当なOAuthサービスへの不正なリンクを使用してマルウェアダウンロードへリダイレクトするフィッシングキャンペーンを特定しました。
Microsoftは、フィッシング犯がOAuth認証プロトコルの組み込み動作を悪用して、Microsoft Entra IDやGoogle Workspaceなどの正当なアイデンティティプロバイダードメインを指すリンクを使用し、被害者をマルウェアにリダイレクトしていることを警告しました。これらのリンクは安全に見えますが、最終的には別の場所に導きます。
「OAuthには、特定の条件下、典型的にはエラーシナリオまたは他の定義されたフロー内で、ユーザーを特定のランディングページへリダイレクトできる正当な機能が含まれています」とMicrosoftのDefender Security Research Teamはブログ投稿で記述しました。「攻撃者はこの本来の機能を悪用することで、Entra IDやGoogle Workspaceなどの一般的なアイデンティティプロバイダーを使用し、操作されたパラメータまたは関連する悪意あるアプリケーションを使用してURLを作成し、ユーザーを攻撃者が管理するランディングページへリダイレクトすることができます。」
同社は、この活動に関連する複数の悪意あるOAuthアプリケーションを無効にしたと述べていますが、関連するキャンペーンが継続していることを警告し、継続的な監視が必要だと述べています。
攻撃がどのように機能するか
攻撃は電子メールでのフィッシングから始まり、観察された誘導文句は電子署名リクエスト、HR通信、Microsoft Teams会議招待状、およびパスワードリセットアラートになりすまし、悪意あるリンクは電子メール本文またはPDF添付ファイル内に埋め込まれていることが、Microsoftの研究者がブログ投稿で記述しました。
リンクは実在するOAuth認可エンドポイントを指していますが、意図的に不正なパラメータで構築されています。攻撃者は「prompt=none」値を使用し、ログイン画面なしでのサイレント認証をリクエストし、無効なスコープ値と組み合わせます。この組み合わせは失敗するよう設計されています。失敗すると、アイデンティティプロバイダーは、ユーザーのブラウザを攻撃者が登録したURIへリダイレクトします。
「この動作は標準に準拠していますが、敵対者はこれを悪用して、信頼されている認可エンドポイントを通じてユーザーを攻撃者が管理する目的地へリダイレクトすることができます」と、研究者はブログ投稿で記述しました。
この手法は、攻撃者がアイデンティティにどのようにアプローチするかの構造的な転換を表していると、Greyhound Research最高分析官のSanchit Vir Gogiaは述べています。「最初のホップは本物です。ブラウザは正しく動作しています。アイデンティティプロバイダーは正しく動作しています。信頼シグナルは本物です」と彼は述べました。「これはフィッシングをブランドレイヤーでの欺瞞からワークフローレイヤーでの操作へシフトさせています。」
Microsoftがブログ投稿で詳述したあるキャンペーンでは、リダイレクトは被害者のデバイスに悪意あるショートカットファイルを含むZIPアーカイブを配信しました。ファイルを開くとPowerShellスクリプトがトリガーされ、偵察コマンドを実行し、最終的に攻撃者が管理するサーバーに接続しました、と投稿は述べています。Microsoftは、その後の活動を、ランサムウェア前の動作と一貫していると説明しました。
ブログ投稿で詳述された他のキャンペーンは、被害者をEvilProxyなどの中間者フレームワークにルーティングして、認証情報とセッションクッキーを収集しました。
コンテキストが新しい赤旗です。URLではなく
IDC Asia/Pacific上級リサーチマネージャーのSakshi Groverは、リンクをホバーしてそのドメインを検証するという長年のアドバイスは、見かけが似たドメインの時代のために構築されたものであり、認証フローが定期的に信頼されたアイデンティティプロバイダーを通過する環境ではもはや有効ではないと述べました。
「組織は認識メッセージを「リンクを確認する」から「コンテキストを検証する」にシフトすべきです」と彼女は述べました。「従業員は、認証リクエストが予期されたものであったか、現在のビジネス活動と一致しているか、アプリケーションが意味のあるアクセス許可をリクエストしているかどうかについて疑問を抱くように訓練されるべきです。」
Gogiaは、企業がさらに進んで、根本的な動作を完全に変更する必要があると述べました。「未承認のインバウンドリンクから認証ジャーニーを開始しないこと」と彼は述べました。「認証は制御された開始点から始めるべきであり、電子メールトリガーからではありません。」彼は、予期しないログインジャーニーの報告が摩擦なく行われるべきであり、報告の速度が個人的な判断の信頼性よりも価値があると付け加えました。
攻撃者が悪用するガバナンスギャップ
両分析官はOAuthアプリケーションガバナンスが、このキャンペーンが悪用する、より深い構造的ギャップであることを指摘しました。
IDCのGroverは、ガバナンス成熟度は企業全体で不均等なままであると述べました。「広範なデフォルトの同意設定と、リダイレクトURIの監視が限定的なままであり、特にクラウドおよびSaaS採用がアイデンティティガバナンスコントロールを上回っている環境では一般的です」と彼女は述べました。
Greyhound ResearchのGogiaによると、問題の規模は過小評価しやすいです。「すべてのSaaS統合、自動化ワークフロー、およびコラボレーションツールはアプリケーション登録を必要とする場合があります。時間とともに、テナントは数百または数千の登録済みアプリを累積します。リダイレクトURIはセットアップ中に構成され、めったに再度検討されません」と彼は述べました。「テレメトリが存在します。解釈は存在しません。」
Microsoftは、ブログ投稿で、組織はサードパーティのOAuthアプリケーションへのユーザーの同意を制限し、アプリケーションのアクセス許可を定期的に監査し、未使用または権限が過剰なアプリケーションを削除すべきだと述べました。投稿はまた、脅迫アクターの悪意あるアプリケーションにリンクされた16のクライアントIDと、初期リダイレクションURLのリスト、および侵害のインジケータを公開しました。Microsoft Defender XDRの顧客向けのKQLハンティングクエリは、電子メール、アイデンティティ、およびエンドポイント信号全体の関連活動を特定するのに役立つ投稿に含まれています。
企業がこれらのギャップに対処しないままである限り、この手法は有効なままである、とGogiaは警告しました。「暗号化を破る必要はありません」と彼は述べました。「管理的な無関心を悪用することが必要です。」
