脅威アクターは、攻撃を実行するために信頼されたインフラをますます利用しており、自動セキュリティツールが悪意のある活動をフラグするのをより困難にしています。
新たに発見されたフィッシングキャンペーンは、侵害されたウェブサイトを悪用して貴重な企業認証情報を収集することで、この成長傾向を浮き彫りにしています。
サイバーセキュリティ研究者は、攻撃者が正規のウェブサイトを乗っ取って機密ユーザーデータを盗く洗練された新しいフィッシングキャンペーンを発見しました。
KnowBe4 Threat Labsから提供された最近の脅威インテリジェンスによると、悪意あるアクターは説得力のあるフェイクログインページをホストするために侵害されたWordPressインフラを積極的に悪用しています。
この多層的なキャンペーンは主にMicrosoft Teamsユーザーを標的としており、XfinnityおよびUAE Passアカウントを保有する個人も対象としています。
信頼されている既に確立されたウェブサイト内に悪意あるインフラを埋め込むことで、攻撃者は多くの標準メールセキュリティフィルタを成功裏にバイパスしています。
この戦術により、脅威アクターは疑わしいウェブアドレスに気付く可能性がある油断した被害者を容易に欺くことができます。
攻撃者は、単一の識別しやすい戦術に頼るのではなく、複数ベクトルのアプローチを展開しています。
攻撃チェーンプロセス
彼らは緊急の偽りの感覚を作り出すために設計された3つの異なる社会工学ルアーを利用しています。脅威アクターは次の方法を使用して被害者を罠にかけます:
- Microsoft Teamsボイスメッセージ: 標的ユーザーは、Microsoft Teamsで待機している未読のボイスメールがあると偽って主張する本物に見えるメール通知を受け取ります。
- 共有文書アラート: 重要な新しい文書がユーザーと共有されたことを述べる詐欺的な通知で、ユーザーはすぐに確認するよう促されます。
- UAE Passスプーフィング: アラブ首長国連邦のユーザーから地域の認証情報を盗むために設計されたフェイクログインリクエストを使用した地理的にカスタマイズされたルアー。
このフィッシングキャンペーンの有効性は、高度に構造化された4ステップの攻撃チェーンに依存しています。
この合理化されたプロセスは、被害者を欺くメールインボックスから侵害されたウェブサーバーに直接シームレスに移動させます。
KnowBe4 Threat Labsはこれらの進行中の攻撃を駆動するイベントの正確な順序をアウトラインしました:
- フック: 攻撃は、標的ユーザーが偽のTeamsボイスメールアラートなどの欺くメールを開き、目立つように表示された「今すぐ聴く」アクションボタンをクリックすると開始されます。
- ピボット: 悪意あるリンクをクリックすると、仲介者追跡ドメイン(研究者によってskimresources[.]comとして特別に特定された)を通じた迅速な自動リダイレクトがトリガーされます。
- ペイロード: 被害者は最終的に、乗っ取られたWordPressバックエンドディレクトリで安全にホストされているMicrosoft Teams、Xfinity、またはUAE Passログインポータルの完全に複製されたレプリカに到達します。
- 目標: 対象がユーザー名とパスワードを手動で入力した場合、攻撃者はすぐに認証情報を収集して、ダウンストリームのアカウント乗っ取りを促進し、企業環境に侵入します。
日常的なセキュリティスキャンを回避するために、脅威アクターは乗っ取られたウェブサイトの標準ファイル構造内に自分たちのフィッシングペイロードを意図的に隠しています。
彼らは特に/wp-includes/および/bin/フォルダなどの正規のバックエンドディレクトリを悪用し、通常のウェブサイト操作とシームレスに統合しています。
ネットワークディフェンダーとセキュリティ管理者は、その環境を積極的に監視し、以下のアクティブな侵害指標(IOC)をブロックする必要があります:
- crsons[.]net/wp-includes/js/tinymce/~
- crsons[.]net/wp-includes/cgi/UAE%20PASS.htm
- afghantarin[.]com/afghantarin/admin/waitme/~
- medinex[.]in/includes/bin/index[.]php
- cabinetzeukeng[.]net/config/[.]bin/voicemail
- rnedinex[.]com
翻訳元: https://gbhackers.com/hackers-abuse-trusted-websites-in-new-attacks/
