洗練されたフィッシングキャンペーンが、悪意のある攻撃を正当な企業イベント招待に見せかけることで、米国全体の組織を積極的に標的にしています。
脅威行為者は、銀行、政府、技術、医療を含む重要なセクターに集中的に取り組んでいます。
この広範な活動は、ビジネス上重要なインフラストラクチャに対する高いリスクを示しています。単にパスワードの盗聴を試みる従来のフィッシング攻撃とは異なり、この新しく観察されたキャンペーンは極めて危険な二重脅威アプローチを採用しています。
攻撃者は、標準的な認証情報盗聴をワンタイムパスワード(OTP)コードの傍受とリモート監視管理(RMM)ソフトウェアの展開と組み合わせています。
これらの技術を活用することで、サイバー犯罪者は多要素認証を正常に回避し、機密企業ネットワークへの直接的で永続的なリモートアクセスを確立できます。
攻撃シーケンスは、ユーザーをだまし、自動メールセキュリティスキャナーを回避するように注意深く設計されています。このフローは、ターゲットが偽の招待メール内の悪意のあるリンクをクリックし、すぐに標準的なCAPTCHAページが表示されるときに始まります。
このシンプルな人間認証ステップは二重の目的を果たします。被害者に偽りの安全感を生み出し、リンクをスキャンする自動セキュリティボットから実際の悪意のあるペイロードを正常に隠します。
ユーザーがCAPTCHAを完了すると、非常に説得力のある偽のイベント登録ページにリダイレクトされます。
セキュリティ研究者は、これらのフィッシングページの多くが人工知能で生成されたことを示す明確な兆候を示していることに気付いています。
このAIアシスタンスは、一般的なフィッシングキットの再利用と組み合わせることで、攻撃者は現実的でスケーラブルな罠を迅速に作成できます。
この段階で、攻撃は2つの異なるパスに分かれます。最初のパスは認証情報の収穫に大きく焦点を当てています。
被害者はイベント詳細を表示するためにログインするよう促され、詐欺的なログインページにリダイレクトされます。ユーザーが認証情報を入力すると、攻撃者はデータを盗み、二要素認証に必要なOTPをリアルタイムで積極的に傍受します。
2番目のパスは、正当なRMMツールの直接的で隠れたインストールを含みます。アンチウイルスアラートをトリガーする可能性のあるカスタムマルウェアを使用するのではなく、攻撃者はScreenConnect、ITarian、Datto RMMなどの信頼できる管理アプリケーションをデプロイします。
このシナリオでは、ソフトウェアダウンロードはユーザーの操作を必要とせずにバックグラウンドで自動的に開始されます。これらは標準的なIT管理ツールであるため、セキュリティソフトウェアはそれらを無視することがよくあります。
これにより、攻撃者は実行チェーンの初期段階で企業環境への深いリモートアクセスを取得できます。ユーザーが招待が偽物であることに気付くまでに、攻撃者はすでにネットワーク上の足がかりを確保しています。
高度な戦術と信頼できるように見えるドメインanyrunの使用にもかかわらず、防御者は特定の初期段階のシグナルを探すことでこのキャンペーンを正常に識別できます。
攻撃者は従来のブロックリストを回避するために、プライマリWebインフラストラクチャを絶えず変更しています。しかし、彼らは彼らの根本的な存在を明かす繰り返し可能なネットワークパターンに依存し続けています。
これらの初期インジケータは、ユーザーの認証情報が入力される前の実行チェーンに表示され、セキュリティチームに攻撃を停止するための重要なウィンドウを提供します。
翻訳元: https://cyberpress.org/fake-invites-target-firms/
