ご注意ください!リアルタイムメール検証でフィッシング攻撃がさらに巧妙化
サイバー犯罪者は、リアルタイムのメール検証を利用してフィッシング攻撃をより効率的かつ検知困難にし、認証情報の窃盗に新たな手口を駆使することで、その手口のレベルを上げています。Cofenseの研究者たちは、この進化する戦術を特定し、「精密検証フィッシング」と名付けました。これは、アクティブで価値のあるメールアドレスのみに標的を絞り込む手法です。
広範囲に攻撃を仕掛け、わずかな攻撃を期待する従来のフィッシング攻撃とは異なり、この新しい手法は緻密かつ綿密です。攻撃者は、ランダムに選んだユーザーに偽のログインページを送信するのではなく、まずフィッシングページに入力されたメールアドレスが、事前に収集したターゲットデータベースに存在するかどうかを確認します。データベースに存在すれば、認証情報を盗むための偽のログイン画面が表示されます。存在しない場合は、Wikipediaなどの安全なサイトにリダイレクトされます。これにより、フィッシングサイトは自動セキュリティスキャナーによる検出を回避できます。
このリアルタイム検証は、APIまたはJavaScriptベースのメール検証ツールをフィッシングキットに組み込むことで可能になります。その結果、窃取されるデータの質が向上し、無駄な労力が削減され、サイバーセキュリティツールによる検知・阻止が困難なフィッシングキャンペーンが実現します。
目次
最大限の効果を得るために被害者をフィルタリングする
Cofenseは、この手法は実際に使用されているアカウントから認証情報を盗む可能性を高めるだけでなく、悪意のあるウェブサイトを捕捉するために設計された自動サンドボックスやクローラーツールの作業を複雑化すると警告しています。これらのシステムは検証チェックに合格できないことが多く、フィッシングページが長期間アクティブなままになり、疑わしいサイトとしてフラグ付けされない可能性があります。
このレベルのフィルタリングは、脅威アクターに大きな優位性をもたらします。検証済みの標的を狙うことで、露出リスクを軽減し、投資収益率(ROI)を向上させます。また、この戦術はフィッシングキャンペーンの存続期間を延ばし、防御側が対応を困難にする効果もあります。
ファイル削除フィッシング詐欺は2つの攻撃を利用
攻撃者はこれらの高度な戦術にソーシャルエンジニアリング戦略を巧みに組み合わせることで、危険性をさらに高めています。最近確認されたある攻撃では、ファイル削除のリマインダーを餌として利用していました。被害者は、正規のファイルホスティングプラットフォームであるfiles.fmから削除予定のPDFファイルへのリンクを装ったメールを受け取ります。リンクをクリックすると、実際に本物のホスティングサービスにアクセスし、PDFファイルのように見えるファイルにアクセスできるようになります。
問題はここにあります。ユーザーにはプレビューとダウンロードの2つの選択肢が提示されます。プレビューを選択すると、認証情報収集を目的とした偽のMicrosoftログインページが開き、ダウンロードを選択すると、Microsoft OneDriveを装った実行ファイルがインストールされます。このプログラムは実際にはScreenConnectという、ConnectWiseの正規のリモートデスクトップツールであり、脅威アクターによる不正アクセスに悪用されることがよくあります。
Cofenseによると、この攻撃はユーザーの行動を巧妙に操作するように設計されている。被害者は、それぞれ異なる方法でシステムへの侵入につながる、同等に危険な2つの選択肢から選択を迫られる。この二面的な仕組みにより、脅威アクターは認証情報の窃取であれマルウェアの拡散であれ、目的を確実に達成できる。
リモートアクセスとヴィッシング戦術を組み合わせたフィッシング
サイバーセキュリティ研究者は、フィッシング、電話詐欺(ヴィッシング)、リモートアクセスツール、そして「Living-Off-The-Land(土地寄生)」の手法を組み合わせた多段階の攻撃キャンペーンを発見しました。この高度な攻撃活動は、脅威アクターグループStorm-1811(別名STAC5777)によるものとみられます。
攻撃は、悪意のあるPowerShellペイロードを含むMicrosoft Teamsメッセージから始まります。最初のアクセスを取得すると、攻撃者はMicrosoftのクイックアシスト機能を使用してシステムをリモート制御します。そこから、TeamViewerなどの正規のソフトウェアとサイドロードされた悪意のあるDLLをインストールし、最後にNode.jsを使用してJavaScriptベースのコマンドアンドコントロールバックドアを展開します。
これらのインシデントは、今日のフィッシング脅威の複雑さと創造性が増していることを浮き彫りにしています。攻撃者は高度な技術と心理的操作を組み合わせた戦術を用いて、従来の防御策を回避し、用心深いユーザーでさえも騙すことに成功しています。
最善の防御策は、依然として警戒を怠らないことです。組織はこうした新たな脅威について常に情報を入手する必要があります。また、ユーザーは、リンクをクリックしたり、認証情報を入力したり、ファイルをダウンロードしたりする前に、たとえそれがいかに正当なものに見えても、慎重に検討する必要があります。