- Microsoftはハッカーがマルウェア配信のためにOAuthリダイレクト機能を悪用していると警告
- Teams録画またはOffice 365リセットをテーマにしたフィッシングメールが、被害者を攻撃者が管理するサイトにリダイレクト
- LNKショートカットとHTMLスマグリングを含むZIPアーカイブを介してペイロードが配信され、最終段階は外部C2に接続
ハッカーがOAuthのリダイレクト機能を悪用して、人々のコンピュータをマルウェアで感染させ、ログイン認証情報を盗んでいると、Microsoftは警告しています。
OAuth(Open Authorizationの略)は、ユーザーが別のサービスのアカウントを使用してWebサイトにログインできるシステムで、そのWebサイトにパスワードを提供する必要がありません。「Googleでログイン」ポップアップが表示されるたびに、それはほぼ確実にOAuthです。
このシステムには、プロセスでエラーが発生した場合、通常はIDプロバイダーが訪問者を別のランディングページに送信するために使用できるリダイレクト機能があります。しかしMicrosoftは、この機能が悪用されていると述べています。
ペイロードのダウンロード
最近検出された攻撃では、詐欺師は政府および公共部門の組織にフィッシングメールを送信し、通常はTeamsミーティング録画またはMicrosoft 365パスワードリセットリクエストをテーマにしています。これらのメールには、クリックするとOAuthを表示しエラーをトリガーする、慎重に作成されたパラメータを持つリンクが含まれています。
エラーが原因で、ユーザーは攻撃者が所有するフィッシング・アズ・ア・サービスWebサイトにリダイレクトされ、そこで悪意のあるペイロードがホストされています。
「攻撃者は自分が管理するアプリケーションリダイレクトURIでペイロードをホストすることで、セキュリティフィルタがそれらをブロックしたときにリダイレクトドメインを素早くローテーションまたは変更できます」と、Microsoftはブログ投稿で説明しています。
観測された1つの攻撃では、被害者は/download/XXXXパスにリダイレクトされ、ZIPファイルがダウンロードされました。そのアーカイブはLNKショートカットとHTMLスマグリングローダーを含んでおり、被害者がショートカットファイルを開いたとき、PowerShellコマンドをトリガーしました。その結果、そのコマンドはディスカバリーコマンドを実行し、正当な実行ファイルを起動し、サイドロードされた悪意のあるDLLの助けにより、最終ペイロードを実行しました。
その結果は、外部C2エンドポイントへのアウトバウンド接続でした。
被害者がOAuthページでログイン認証情報を失わなかったことを強調する価値があります – それはペイロードを配信するためのリダイレクト機能として使用されたにすぎません。現在のところ、キャンペーンがどの程度広がっているのか、または何個の政府機関が影響を受けたのかはわかりません。
そしてもちろんTikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式でのアンボックスを取得し、WhatsAppでも私たちから定期的な更新を受け取ることができます。
