「VENOM」という未発表のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを使用する脅威アクターが、複数の業界のC-スイート経営幹部の認証情報を狙っています。
この作戦は少なくとも昨年11月以降活動しており、企業のCEO、CFO、またはVPとして働く特定の個人を狙っているようです。
VENOMはまた、公開チャネルおよびアンダーグラウンドフォーラムで宣伝されていないため、クローズドアクセスのようであり、研究者への露出を減らしています。
VENOMの攻撃チェーン
サイバーセキュリティ企業Abnormalの研究者によって観察されたフィッシングメールは、内部通信の一部としてMicrosoft SharePointドキュメント共有通知を偽装していました。
メッセージは高度にパーソナライズされており、偽のCSSクラスやコメントなどのランダムなHTMLノイズが含まれています。攻撃者はターゲット用にカスタマイズされた偽のメールスレッドも注入し、信頼性を高めます。
Unicodeで表現されたQRコードが提供され、被害者がスキャンしてアクセスできます。このトリックはスキャンツールをバイパスし、攻撃をモバイルデバイスに移すよう設計されています。
「ターゲットのメールアドレスはURL フラグメント(#文字の後の部分)でダブルBase64エンコードされています」と、Abnormal研究者が説明しています。
「フラグメントはHTTPリクエストで送信されることがないため、ターゲットのメールはサーバー側のログとURL評判フィードに対して見えなくなります。」
被害者がQRコードをスキャンすると、セキュリティ研究者およびサンドボックス環境のフィルターとして機能するランディングページに移動し、実際のターゲットのみがフィッシングプラットフォームにリダイレクトされることを保証します。脅威アクターの関心外のユーザーは、疑いを減らすために正当なウェブサイトにリダイレクトされます。
テストに合格した者は、リアルタイムでMicrosoft ログインフローをプロキシする認証情報収集ページに移動され、認証情報と多要素認証(MFA)コードはMicrosoft APIに中継され、セッショントークンが取得されます。
中間者(AiTM)方式とは別に、Abnormalは被害者が不正デバイスのMicrosoft アカウントへのアクセスを承認するよう騙されるデバイスコードフィッシング戦術も観察しています。
この方法は、その有効性とパスワードリセットへの耐性のため、過去1年間で非常に人気が高くなり、現在少なくとも11個のフィッシングキットがそれをオプションとして提供しています。
どちらの方法でも、VENOMは認証プロセス中に永続的なアクセスを迅速に確立します。AiTMフローでは、被害者のアカウントに新しいデバイスを登録します。デバイスコードフローでは、アカウントへのアクセスも提供するトークンを取得します。
研究者は、MFAはもはや防御として十分ではないと指摘しています。C-スイート経営幹部は、FIDO2認証を使用し、不要な場合はデバイスコードフローを無効にし、より厳密な条件付きアクセスポリシーを実装することでトークン悪用をブロックすべきです。
