EvilTokensがMicrosoftデバイスコードフローを悪用してアカウント乗っ取りを実行

新しいフィッシング・アズ・ア・サービス（PhaaS）キャンペーンが、Microsoftのデバイスコード認証フローを悪用してユーザーアカウントへの不正アクセスを獲得しています。

Sekoia研究者は、攻撃者がMicrosoftの環境内で正当なログインプロセスを完了するようユーザーを欺いて認証トークンをキャプチャできるツール「EvilTokens」を最初に発見しました。

少なくとも2月中旬以降に観察されたこのアクティビティは、被害者にMicrosoftの実際のログインページでデバイスコードを入力するよう促すソーシャルエンジニアリングの誘い文句に依存しています。Sekoia研究者はブログ投稿で「Microsoft 365アカウントを侵害するために、EvilTokensページはデバイスコードフィッシングに依存しています。これはMicrosoft認証ページを複製する一般的なAitM戦術とは異なる手法です」と述べています。

PhaaS ツールキットは、アクセス武装化モジュール、メールハーベスティング、偵察機能、組み込みWebメールインターフェースなど、AI自動化で動作する多くの機能を提供しており、その提携者に提供しています。研究者らが付け加えています。

EvilTokensはTelegram上のボットを通じて動作しており、キットアップグレード用の専用チャネルがあります。このキャンペーンは、米国、オーストラリア、カナダ、フランス、インド、スイス、UAEを含む複数の国に主に影響を与えています。

アクセスブローカーとしてのデバイスコード認証

Sekoia研究者は、この手法が多くの従来のフィッシング検出を回避することに気づいています。認証は正当なMicrosoftドメイン上で発生するため、転送中の認証情報インターセプションはなく、多要素認証は通常のログインフロー中に発生するのと同じように完了します。

攻撃は、予想される一般的なユーザー行動からのアカウント乗っ取りの形態をもたらします。

事後対応を重視したフィッシングパッケージ

初期アクセスベクトル以上に、EvilTokensは完全なサービスフィッシングプラットフォームとして構成されています。このキットは、フィッシングフェーズと事後対応アクティビティの両方を実行するために設計された、すぐに使用可能な誘い文句、インフラストラクチャ、および自動化ツールを提携者に提供します。

このキャンペーンで使用されている誘い文句には、偽のSharePointドキュメント通知、DocuSign要求、およびアカウントアラートが含まれており、すべてユーザーをデバイスコード入力に向かわせることを目的としています。アクセスが取得されると、プラットフォームはインボックス分析を可能にし、攻撃者が財務会話や請求書スレッドなどの高価値ターゲットを特定できます。

「短命なアクセストークンを活用することにより、攻撃者はデバイスコードフィッシング攻撃に続く最大60分間、ターゲットとなったユーザーデータを流出させることができます」と彼らは述べています。「ターゲットとなったサービスによって、攻撃者はExchange Online経由のメール、Microsoft SharePoint OnlineとOneDriveのドキュメント、またはMicrosoft Teamsの会話履歴にアクセスできます。」60分の有効期限を持つ受け取ったトークンは、新しいアクセストークンを生成するために引き換えることもできます。これは90日間のローリング有効期限を持ち、攻撃者が侵害されたアカウントでの永続性を維持することができます。

Telegramチャネルを通じて配布されるPhaaS サービスには、キャンペーン管理とトークン収集を管理するためのボット駆動ワークフローが含まれています。研究者はまた、Microsoftを超える追加プラットフォームのサポートが導入される可能性があるという兆候を持つ、継続的な開発活動も観察しています。

Sekoia は追跡をサポートするための一連の攻撃インフラストラクチャの詳細を共有しました。これらには、フィッシングドメインとURLパターン、自己ホストされるアフィリエイトドメイン、EvilTokens管理ドメイン、およびフィッシングページ検出用のYARAルールが含まれています。