米国の大学に焦点を当てたStorm-2657などの以前の給与詐欺クラスターとは異なり、このキャンペーンは明確にカナダを対象としています。業界を問わず、従業員がフィッシングフローに誘い込まれる可能性のある組織を対象としています。
この作戦は、SEO汚染と悪意のある広告から始まります。攻撃者が管理するドメインbluegraintours[.]comを、「Office 365」などの一般的なクエリまたは「Office 265」などのスペルミスの検索結果の上位に押し上げています。
ユーザーがこれらのリンクをクリックすると、説得力のある偽のMicrosoft 365サインインページに誘導されます。このページは実際の認証フローをプロキシしており、中間者(AiTM)設定であり、認証情報とライブセッショントークンの両方をリアルタイムでキャプチャします。
このドメインに関連する侵害周辺のサインインテレメトリは、特性的なパターンを示しています。複数の失敗した試行が続き、その後Microsoft Entraエラー50199が発生し、ユーザーエージェントが突然Axiosに切り替わる成功したサインインが直後に続きます。
同時に、セッションIDは変わらないままで、新しいログインではなくトークンリプレイを明確に示しています。
これらのトークンにより、アクターは追加の認証情報プロンプトやレガシーMFAチャレンジをトリガーせずにMicrosoft 365リソースにアクセスでき、リプレイ可能なトークンを信頼するフィッシング耐性のないMFAフローを効果的にバイパスします。
Microsoftの分析によると、キャンペーンはAxios HTTPクライアント(最も一般的なバージョン1.7.9)をセッションリレーユーザーエージェントとして悪用し、Axiosの脆弱性CVE-2025-27152を悪用しているようです。これはサーバーサイドリクエストフォージェリ(SSRF)の問題で、リプレイフロー中にバックエンドサービスをピボットおよび操作するために活用される可能性があります。
Storm-2755が有効なセッションを取得すると、ノイズの多いマルウェア展開ではなく、永続性とステルスに焦点を当てます。
DARTは、Axiosユーザーエージェントに関連するOfficeHomeアプリケーションへの非対話的なサインインをほぼ30分ごとに観察し、防御者がトークンを失効させるまで盗まれたセッションを生かし続けていました。
通常、これらのハイジャックされたセッションは、中断されない限り最大30日間使用可能なままでしたが、その後リフレッシュトークンは有効期限切れ、ローテーション、またはポリシー施行を通じて無効になり、アクターが新しいトークンをキャプチャすることを強制されました。
直ちの対応手順には、影響を受けたアイデンティティのアクティブなトークンとセッションを失効させること、悪意のあるインボックスルールを削除すること、および侵害されたアカウントのパスワードとMFAメソッドの両方をリセットすることが含まれます。
強化対策は、フィッシング耐性のあるMFA(FIDO2/WebAuthnなど)、条件付きアクセスセッションライフタイムコントロール、およびリスク条件が変わったときにアクセストークンが迅速に再評価および失効される継続的なアクセス評価(CAE)を優先する必要があります。
翻訳元: https://cyberpress.org/storm-2755-hijacks-employee-salaries/