AIクラウドホスティングサービスRailwayに関連したフィッシングキャンペーンにより、Huntressの研究者によると、ハッカーが数百の企業のマイクロソフトクラウドアカウントへのアクセスを獲得しました。
Huntressのアイデンティティチーム製品マネージャーのRich Mozeleskiは、CyberScoopに対し、このキャンペーンは現在、より小規模な攻撃者と約12個のIPアドレスに関連しているが、過去数週間で数百のターゲットを侵害することに成功したと述べました。
3月初旬は1日数十のターゲットを侵害していましたが、3月3日から、そのペースに「大幅な増加」がありました。Mozeleskiは、通常より高度な手口に加えて、同一のメールやドメインが使用されず、研究者は人工知能ツールで生成された可能性があると疑っていると述べました。テンプレートは従来のメール誘引からQRコードや不正なファイル共有サイトまで様々でした。
「その量はまるでパンドラの箱が開いたようで、その効果性は本当に素晴らしかった」とMozeleskiは述べました。
キャンペーンで使用されたカスタムファイルダウンロードフィッシング誘引。研究者は攻撃者がAIを使用して大規模にユニークな誘引を生成したと考えています。(出典:Huntress)
このフィッシングキャンペーンは、スマートテレビ、プリンター、ターミナルなどのデバイス向けのマイクロソフトの認証フローを悪用し、攻撃者がパスワードや多要素認証なしで、そのアカウントの最大90日間有効なOAuthトークンを取得できるようにします。
結局のところ、Huntressは数百の顧客がフィッシング詐欺に引っかかったことを見ていますが、すべての場合で侵害後の活動を防いだと主張しています。しかし、彼らは顧客が潜在的な被害者総数のほんの一部を表しており、数千に上る可能性があると信じています。
影響を受けた企業は様々な業界にわたっています。建設・貿易企業、法律事務所、非営利団体、不動産、製造業、金融・保険、医療、政府・公安機関はすべてHuntressブログに詳述された344人の被害者に含まれました。
顧客を保護するため、Mozeleskiは、Huntressが水曜日にRailwayドメインからのメール向けに60,000のマイクロソフトクラウドテナントに条件付きアクセスポリシーを更新したと述べ、これを「これまでに行ったことのない行為」と説明しました。
バイブコード化されたインフラを兵器化
研究者は、攻撃者がRailwayのPlatform as a Serviceを兵器化していると考えており、これはノンコーダーがウェブサイトとツールを構築するのを支援するために構築されました。キャンペーン用の認証情報収集インフラを展開するためです。
侵害されたドメインを使用し、カスタマイズされた誘引を配信することで、フィッシングメールは商用メールフィルタリングソリューションのほとんどを回避します。彼らがRailwayのAIツールを使用したか、別のツールを使用したかは明確ではありません。いずれにせよ、Huntressが観察したすべての攻撃はRailway.com IPインフラを通じて来ています。
金曜日のCyberScoopからの質問に応じて、RailwayソリューションエンジニアのAngelo Saraceno は、同社が事件を認識しており、3月6日にHuntressから特定のIPアドレスと3つのドメインからのフィッシングトラフィックについて最初に連絡されたと述べました。「関連するアカウントは禁止され、ドメインはブロックされました」とSaraceno は述べました。
「当社のヒューリスティックスは、繰り返されるクレジットカード、共有されたコードソース、重複するインフラなどの相関関係を検出するように構築されています」と彼はメールで述べました。「キャンペーンがそれらの信号を回避すると、私たちが望むより先に進みます。」
Saraceno は、Railwayの不正検出を悪質な行為者を検出することと誤検知で殺到することの「バランス」と呼び、2月の同社の自動悪用執行システムの微調整がカスタマーアウトにつながった事件を指摘しました。
金曜日の早い時点で、Mozeleskiは、Huntressがまだ毎日50以上のRailwayフィッシングドメインに関連する侵害を目撃していることをCyberScoopに述べました。Railwayが彼らのプラットフォームの悪用を防ぐためにもっと何ができたかについて尋ねられたとき、彼は無料製品使用の検証と確認を改善できると述べました。彼は、MailChimpやHubSpotのような同様のトライアルを持つ製品を指摘し、ユーザーが「百万個のコンタクトをポンプで注入してスパムを開始する」ことができないようにする制御と監視が整っています。
「サイバー攻撃のために、誰もが来て、トライアルを開始し、リソースを立ち上げ、あなたのインフラを使用し始めることを許可しないでください」と彼は述べました。
キャンペーンのより印象的な対比の1つは、AIを使用して、一般的なフィッシング詐欺に役立つ、国家が後援する脅威アクターまたは高度なサイバー犯罪グループに匹敵するフィッシングインフラを作成することでした。
これは、低レベルのサイバー犯罪者(自動化されたハッキングツールへの依存で「スクリプトキディ」と呼ばれることが多い)が生成AIの時代の最大の受益者の1つになる準備ができているというサイバーセキュリティ専門家からの警告を強化しています。先月、Googleの脅威インテリジェンスグループの主任分析官であるJohn Hultquistは、AIツールが「国が後援するハッカーよりも小規模なサイバー犯罪グループをより支援する」と期待していると述べました。
Railwayのウェブサイト上の推薦文は、サービスが「垂直自動スケーリング(ボックスから外す)」を提供する能力をうたっており、別の推薦文は「自己ホストされたサードパーティツールを立ち上げるをほぼ労力なくさせた」と述べています。
また、サイバー防御のためのAI使用に関するより制限的な内部ポリシーを持つ被害者組織に対して優位を与える可能性があります。
「私たちはAIの先発者として詐欺師を見ている」と、Huntressの最高製品責任者であるPrakash Ramamurthy は述べました。「彼らはPIIについて躊躇していない、彼らはモデルトレーニングについて躊躇していない…そしてこの事件は、それが進化している速度だけの点で、一種の証拠である。」
翻訳元: https://cyberscoop.com/huntress-railway-ai-phishing-campaign-compromised-hundreds-of-organizations/
