攻撃者は検出を回避するため、信頼できるインフラストラクチャをますます活用しており、新たに発見されたフィッシングキャンペーンは、侵害されたウェブサイトがいかに企業ユーザー、特にMicrosoft Teamsを利用するユーザーを標的にするために武器化されることができるかを示しています。
KnowBe4 Threat Labsのセキュリティ研究者は、正当なWordPressウェブサイトを悪用して認証情報の収集ページをホストする大規模なフィッシング作戦を特定しました。
信頼されたドメイン内に悪意のあるコンテンツを埋め込むことで、攻撃者は自動セキュリティツールとメールフィルタリングシステムによる検出の可能性を大幅に減らします。
このキャンペーンは主にMicrosoft Teamsユーザーを標的としますが、XfinityおよびUAE Passアカウントにも拡張しています。
この複数ターゲットアプローチは、幅広い認証情報収集目標と、特にUAEにおける地域固有の標的を示唆しています。
新たに登録された悪意のあるドメインに依存する代わりに、攻撃者は既存のウェブサイトをハイジャックし、フィッシングページをバックエンドディレクトリの奥深くに植え付けます。
この戦術により、悪意のあるURLは一見すると正当に見え、ユーザーインタラクションの可能性が高まります。
このキャンペーンは、緊急性を作り出し、すぐに行動を促すように設計された複数のフィッシングテーマに依存しています:
これらのおとりは正当な企業通信を模倣するために作られており、セキュリティを意識しているユーザーでも非常に説得力があります。
このフィッシング作戦は、構造化された4段階の攻撃チェーンに従っています:
例えば、Teamsメール内の「今すぐ聴く」ボタンをクリックしたユーザーは、正当だが侵害されたウェブサイトでホストされているMicrosoftログインページのほぼ完璧なレプリカにたどり着く前に、複数のレイヤーを通じて静かにリダイレクトされる可能性があります。
このキャンペーンの重要な強みはその隠蔽性です。攻撃者は、以下のような標準的なWordPressディレクトリ内にフィッシングペイロードを隠します:
悪意のあるファイルを正当なウェブサイトの資産とブレンドすることで、攻撃者は定期的なスキャン中に疑いを引き起こすことを回避します。このアプローチはまた、確立されたドメインに関連する固有の信頼を悪用しています。
セキュリティチームは、以下の既知の悪意のあるインフラストラクチャを監視してブロックする必要があります:
組織は、以下のコントロールを実装することでリスクを軽減できます:
攻撃者が正当なインフラストラクチャの悪用へとシフトし続ける中、ドメインの評判だけに基づいた従来の検出方法はますます効果がなくなっています。
このキャンペーンは、ますます高度なフィッシング脅威に対抗するための多層防御と強化されたユーザー認識の必要性を強調しています。
翻訳元: https://cyberpress.org/attackers-hijack-legitimate-websites-to-target-microsoft-teams-users/