TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

C-スイート幹部を狙った認証情報窃盗キャンペーンで使用される新しいフィッシングプラットフォーム

2025年11月から2026年3月にかけて、世界中の主要組織のC-スイート幹部とシニア職員をターゲットとした認証情報窃盗キャンペーンが、Abnormalの研究者によって発見されました。

 彼らは、キャンペーンのバックエンドインフラストラクチャのエンジンとして機能した、以前に文書化されていないフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Venom」について詳細を説明しました。

認証情報収集攻撃の説明

おとり:SharePoint通知とQRコード

このキャンペーンでは、20以上の業界垂直領域の厳選されたCEO、CFO、会長、および副社長級幹部のリストに対して、SharePointドキュメント共有通知がおとりとして送信されました。

これらのおとりは、メール本文に埋め込まれたQRコードをスキャンするようターゲットを促すために、財務報告書のテーマを活用しました。

さらに、フィッシングテンプレートは検出を回避するために複数の回避戦術を採用しています。

シグネチャベースのスキャンを回避するために、各メールには毎回送信するたびに構造を変更するランダム化された使い捨てHTMLエレメントが含まれています。

ターゲットに合わせた捏造された5メッセージのメールスレッドもフィッシングメールに自動的に挿入されます。被害者のメールプレフィックスが表示名に変換され、「From」フィールドで使用されるとともに、実在の詳細情報(名前、メール、会社ウェブサイト、および偽の電話番号)を持つ生成されたシグネチャが付け加えられます。

2番目のランダムに生成されたペルソナが通信相手として機能し、メッセージ本文は固定テンプレート(例えば、会議リクエスト、財務テーブル)から引き出され、正当な企業通信を模倣するための多言語テキストが含まれています。

ノイズ、個人化、および多様性のこの組み合わせにより、スパム分類器を回避できます。

非人間トラフィックをフィルタリングしてターゲットを隔離

スキャンされたQRコードは、訪問者が実在する人間のターゲットであるか、セキュリティスキャナ、サンドボックス、または自動化されたツールなど何か他のものであるかを判断するための偽の検証チェックポイントとして機能するランディングページにリードします。

「すべてのチェックに合格した訪問者は認証情報ハーベスターにルーティングされます。その他すべての訪問者は行き止まりに達し、何か疑わしいことが検出されたという兆候はありません」とAbnormalの研究者は4月2日のレポートで述べました。

多要素認証が無効になった

その後、被害者は2つの認証情報収集方法のいずれかに直面します。

最初の方法では、攻撃者がそばにいる(AiTM)セットアップが被害者の実在するログインポータルを完璧に模倣し、会社ブランディング、事前入力されたメール、さらに組織の実在するアイデンティティプロバイダーを含めながら、認証情報とMicrosoft Liveシステムへの多要素認証(MFA)コードを静かにリレーしています。

Adversary-in-the-middle (AiTM) mode credential harvester flow. Source: Abnormal

2番目の方法はログインフォームを完全に回避し、代わりにMicrosoftの正当なデバイスコードフローを通じてデバイスサインインを承認するようにして被害者をだまし、その後、アクセストークンを攻撃者に直接渡します。

認証されると、攻撃は疑いを引き起こさずに永続性を確保します。

Device code mode credential harvester flow. Source: Abnormal

AiTMモードでは、攻撃者は被害者のアカウントに2次的なMFAデバイスを静かに登録し、元の認証器をそのままにしておき、目に見える変更を避けています。

デバイスコードモードでは、盗まれたリフレッシュトークンはパスワードリセット後も有効なままです。ただし、管理者がすべてのアクティブセッションを手動で取り消す場合を除きます。これはほとんどの組織がデフォルトで実行しないステップであるとAbnormalの研究者は述べました。

その結果、通常の認証フロー内に溶け込み、検出を回避し、最初の侵害後も長期間アクセスを維持する攻撃となります。

Venom PhaaS:キャンペーンの原動力となるエンジン

キャンペーンを支えるVenom PhaaS機能は、ライセンスと有効化モデル、構造化トークンストレージ、および完全なキャンペーン管理インターフェースを備えています。

分析時点では、Venomはどの公開脅威インテリジェンスデータベースにも表示されておらず、公開売り手マーケットプレイスまたはアンダーグラウンドフォーラムでも確認されていません。

研究者によると、このキャンペーンは「私たちが文書化した最も技術的に完全なフィッシング操作の1つですが、単一の新しい技術よりも、各コンポーネントが一緒に機能するように意図的に設計されている方法の方が重要です。」

オペレーターはエンドツーエンドのパイプラインを構築しており、すべてのステージが次を積極的に保護し、MFAを無効にするシステムです。

「Venomの発見は力の乗数の側面を追加します。ライセンス、キャンペーン管理、および構造化トークンストレージを備えたクローズドアクセスPhaaS平台は、この機能が単一のオペレーターに限定されていないことを示唆しています」と彼らは警告しました。

「組織は、ここに文書化されている技術が拡散すると仮定し、MFAを最後の障壁として依存している防御戦略は即座に再評価が必要です。」

翻訳元: https://www.infosecurity-magazine.com/news/new-phishing-platform-credential/

ソース: infosecurity-magazine.com
#AiTM #C-スイート #MFA #PhaaS #Venom #セキュリティ脅威 #フィッシング #不正アクセス #企業セキュリティ #認証情報盗難

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新