経済的な動機を持つハッキンググループが、カナダの従業員を対象に、給与振込を攻撃者が管理する銀行口座に秘密裏にリダイレクトするための高度なキャンペーンを実施していることをMicrosoftの研究者が発見しました。
SEO中毒とマルバート+フィッシング+AiTM
Microsoftが追跡するStorm-2755というグループは、「Office 365」のような一般的なクエリや「Office 265」のような一般的なタイプミスに対して、検索エンジンの結果を中毒させ、悪意のある広告を実行することから始まります。
クリックしたユーザーは、本物そっくりの偽のMicrosoft 365ログインページにアクセスします。このページはログイン認証情報を盗むと同時に、認証セッション全体をリアルタイムでプロキシし、ログイン後に発行されたセッショントークンをキャプチャします。
「Storm-2755はAxios HTTPクライアントのバージョン1.7.9を利用して、認証トークンを顧客インフラストラクチャにリレーし、フィッシング耐性のないMFAを効果的に回避し、繰り返しのサインインを必要とせずにアクセスを維持しました。このリプレイフローにより、Storm-2755はこれらのアクティブセッションを維持し、正当なユーザーアクションをプロキシして、AiTM攻撃を効果的に実行することができた」とMicrosoftのインシデント対応者は説明しました。
ほとんどの犠牲者については、攻撃者はこのような静かなバックグラウンドアクセスを維持していました。しかし、アカウントの少数は、攻撃者が犠牲者のパスワードとMFA設定も変更しました。そうすることで、元々盗まれたトークンが期限切れになるか取り消された後でも、彼らは依然としてアカウントを「所有」していました。
キャンペーンの真の目的
犠牲者のメールアカウントに侵入した後、攻撃者は侵害されたメールボックスで給与、HR、および財務への参照を検索し、犠牲者のアカウントから組織のHR担当者に「直接預金」の変更をリクエストするメールを送信します。
メールが従業員の実際のアドレスから来ているため、HRには疑う理由がなく、彼らが変更に対応して提出した場合、従業員の次の給与は犯人の銀行口座ではなく、犯人の銀行口座に振り込まれます。
攻撃者は、HRまたは財務部門にメールを送信する前に、「銀行」や「直接預金」などの単語を含むHRの返信を静かに隠しフォルダに埋めるインボックスルールを作成するため、犯人は犯人を見ることができず、アラームを上げることはできません。
「Storm-2755がユーザーの偽装とHR担当者への社会工学を通じて給与情報の変更に成功できなかった場合、Workdayなどの直接インタラクションおよびHRサービスとしてのソフトウェア(SaaS)プログラムの手動操作へのピボットを観察しました」とMicrosoftが追加しました。
1つの成功した攻撃では、Storm-2755は被害者としてWorkdayに手動でサインインして銀行情報を更新し、その従業員は直接的な経済損失を被りました。
「給与海賊」攻撃を阻止する方法
この特定のキャンペーンはカナダの従業員の侵害に焦点を当てていましたが、同様のキャンペーンは他の国の従業員や特定の経済部門で事業を行っている企業で働く従業員を対象とするために絶えず実施されています。
Microsoftは、認証を正当なオリジンサイトにバインドし、従来のプッシュまたはOTPベースのMFAの方法でAiTMプロキシによってインターセプトされないFIDO2/WebAuthnパスキーを第2認証要素として使用することを推奨しています。
それ以上に、組織はAxiosユーザーエージェントがサインインログに表示されるのを監視し、約30分の間隔でOfficeHomeへの非対話的なサインインを繰り返すことを監視し、財務キーワードをフィルタリングする新しく作成されたインボックスルールをアラートする必要があります。
HRおよび給与チームは、直接預金の変更リクエストについても、帯域外検証(例えば、電話または対面での確認)を採用すべきです。
最新のセキュリティ侵害、脆弱性、サイバーセキュリティの脅威を見逃さないために、ニュース速報メールアラートにサブスクライブしてください。ここからサブスクライブしてください!
