EvilTokensという新しいマルウェアキットはデバイスコードフィッシング機能を統合しており、攻撃者がMicrosoftアカウントをハイジャックし、ビジネスメールコンプロマイズ攻撃用の高度な機能を提供することを可能にしています。
このキットはTelegram上でサイバー犯罪者に販売されており、継続的な開発段階にあり、作成者はGmailとOktaフィッシングページへのサポート拡大を計画していると述べています。
デバイスコードフィッシング攻撃はOAuth 2.0デバイス認可フローを悪用します。攻撃者は被害者の所有者に悪意あるデバイスを認可させることで、被害者アカウントへのアクセスを獲得します。
このテクニックは十分に文書化されており、Russian groupsのStorm-237、UTA032、UTA0355、UNK_AcademicFlare、TA2723として追跡されている様々な脅威アクターを含む [1, 2, 3]、およびShinyHuntersデータ恐喝グループによって使用されてきました。
EvilTokens攻撃
脅威検出・対応企業Sekoia の研究者はEvilTokens攻撃を確認し、被害者はQRコードまたはEvilTokensフィッシングテンプレートへのハイパーリンクを含むドキュメント(PDF、HTML、DOCX、XLSX、またはSVG)を含むメールを受け取っていました。
これらの囮は財務ドキュメント、会議招待状、ロジスティクスや発注書、給与通知書、またはDocuSignやSharePointなどのサービス経由の共有ドキュメントなどの正当なビジネスコンテンツを偽装しており、多くの場合は財務、人事、ロジスティクス、または営業部門の従業員に合わせてカスタマイズされています。
被害者がリンクを開くと、信頼できるサービス(例えばAdobe AcrobatやDocuSign)を偽装するフィッシングページが提示され、検証コードと本人確認を完了するための指示が表示されます。
ページはユーザーに「Microsoftに続行」ボタンをクリックするよう促し、正当なMicrosoftデバイスログインページにリダイレクトします。
この段階で、攻撃者は正当なクライアント(任意のMicrosoftアプリケーション)を使用してデバイスコードをリクエストします。その後、被害者を脅威アクターからの正当なMicrosoft URLへの認証に騙します。
このようにして、攻撃者は短期間有効なアクセストークンと永続アクセス用のリフレッシュトークンの両方を受け取ります。
これらのトークンは攻撃者に被害者アカウントに関連付けられたサービスへの即座のアクセスを提供し、メール、ファイル、Teamsデータ、およびMicrosoft サービス全体でのSSO偽装を実行する機能を含みます。
Sekoia の研究者はEvilTokensのインフラストラクチャを調査し、グローバルリーチを持つキャンペーンを発見しました。最も影響を受けた国は米国、カナダ、フランス、オーストラリア、インド、スイス、およびUAEです。
高度なフィッシング以外に、Sekoia の研究者によると、EvilTokensフィッシング・アズ・ア・サービス(PhaaS)操作は、自動化を通じて「ビジネスメール侵害(BEC)攻撃を実施するための高度な機能」も提供しています。
キャンペーンの多様性は、EvilTokensがすでにフィッシングおよびビジネスメール侵害(BEC)活動に関与する脅威アクターによって大規模で使用されていることを示唆しています。
Sekoia は、EvilTokens PhaaS キットを利用する攻撃をブロックするのに役立つ妥協の指標(IoC)、技術詳細、およびYARAルールを提供しています。
