最近のMicrosoft 365認証情報収集キャンペーンは、攻撃者がCloudFlareの保護機能を悪用して、悪質なフィッシングサイトをセキュリティスキャナーと脅威研究者から隠蔽する方法を示しています。
CloudFlareは、ウェブサイトのパフォーマンスを向上させ、ボット、DDoS、自動スキャンなどの攻撃から保護するために、多くの組織で広く使用されています。
しかし、同じ保護機能が、このサービスの背後にフィッシングページをホストする悪意のある行為者にも意図せずして利益をもたらす可能性があります。
セキュリティ研究者はCloudFlareのアンチボットおよび検証システムを悪用するMicrosoft 365ユーザーを標的とするフィッシングキャンペーンを最近特定しました。
攻撃者は複数のアンチ検出メカニズムを使用して、実際の被害者だけが認証情報を盗むページにアクセスできることを保証しています。
保護盾として使用されるCloudFlare
キャンペーンは、CloudFlareインフラストラクチャの背後にホストされたフィッシングドメインから始まります。
キャンペーンで観察された例のドメイン:
- securedsnmail[.]com。
- https[:]//securedsnmail[.]com/secdex.html。
ユーザーがサイトにアクセスすると、最初にCloudFlare人間検証ページに遭遇します。このステップは、自動スキャナーとセキュリティツールが悪意のあるコンテンツを分析する前にそれをブロックするように設計されています。
検証プロセスが完了すると、被害者は攻撃の次のステージにリダイレクトされます。
攻撃者は、セキュリティシステムがフィッシングサイトを識別することを防ぐため、複数のゲートキーピング技術を実装しました。
これらは以下を含みます:
- CloudFlareは人間検証を使用して自動スキャンツールをブロックします。
- api.ipify[.]orgからのデータを使用したIPフィルタリングで訪問者のIPアドレスを識別します。
- Palo Alto Networks、FireEye、AWS、Googleクラウドプラットフォームなどのセキュリティ企業に属するIPレンジを除外するハードコードされたブロックリスト。
- Googlebot、Bingbot、AhrefsBot、Twitterbotなどのボットとクローラーを検出するためのユーザーエージェント検査。
セキュリティスキャナーまたはボットが検出された場合、サイトは自動的に偽の「404 Not Found」ページを表示します。これにより、ドメインが検索エンジンにインデックスされたり、セキュリティ監視ツールでフラグ付けされたりすることを防ぎます。
難読化された認証情報収集
実際の認証情報窃盗ロジックは、静的解析中に検出を回避するために大きく難読化されています。
標準的なJavaScriptを使用する代わりに、フィッシングキットは符号化された命令を実行するカスタム仮想マシン関数を使用しています。これにより、アナリストがデータ流出ロジックまたはコマンド&コントロールインフラストラクチャを識別することが困難になります。
訪問者がすべてのゲートキーピングチェックに合格すると、スクリプトは以下のようなフィッシングリダイレクトURLを生成します:
https[:]//office.suitetosecured[.]com/KuPbXodA?b=cGjQKg4&auth={}
生成されたauthパラメータは被害者を追跡し、Microsoft 365認証情報収集ページに到達する前に検証プロセスに正常に合格したことを確認するようです。
研究者はまた、複数のフィッシングドメイン全体で共通のCloudFlare Turnstile設定を発見しました。
キャンペーンは静的Turnstile sitekeyを使用しました:
0x4AAAAAACG6TJhrsuZdpjsN
識別子CG6TJhrsuZdpjsNは、特定のCloudFlareアカウント設定に対応している可能性があります。セキュリティチームはこのキーを使用してShodan、Censys、URLScanなどのプラットフォームで、同じインフラストラクチャにリンクされた追加のフィッシングドメインを検索できます。
インフラストラクチャパターン
キャンペーン全体で観察された複数の共有インフラストラクチャインジケータ:
- ネームサーバ: cloudflare.com。
- レジストラ: Namecheap。
- MXホスト: registrar-servers[.]com、jellyfish[.]systems。
- ホスティングISP: CloudFlare Inc。
これらの共通点は、古いドメインが検出されたときに迅速に新しいドメインをデプロイするために設計された調整されたフィッシングフレームワークを示唆しています。
このキャンペーンは、サイバーセキュリティにおける成長する課題を浮き彫りにしています。攻撃者は、ウェブサイトを悪用から保護するために設計された正当なセキュリティおよびコンテンツ配信プラットフォームの背後に隠れることがますます増えています。
CloudFlareのようなサービスは数百万の正当なウェブサイトに重要な保護を提供しますが、攻撃者が組み込みのアンチボットおよび検証機能を悪用する場合、これらのインフラストラクチャは悪意のあるキャンペーンの検出を遅くする可能性があります。
セキュリティ研究者は、サービスプロバイダーによる強化されたカスタマー検証と不正使用監視が、フィッシングおよび認証情報収集操作のためのこれらのプラットフォームの悪用を減らすのに役立つ可能性があると述べています。
IOCs
| securedreach[.]com | wirelessmailsent[.]com |
| suitecorporate[.]com | suitetosecured[.]com |
翻訳元: https://gbhackers.com/hackers-exploit-cloudflare-2/
