EvilProxy フィッシング キット
Infosec の研究者は、詐欺関連の攻撃者が EvilProxy という名前の Phishing-as-a-Service (PhaaS) ツールキットを徐々に利用しているという憂慮すべき傾向に気づきました。このマルウェアは、特に著名な組織の幹部に焦点を当てたアカウント乗っ取り攻撃を組織する方法として導入されています。
このような攻撃キャンペーンは、EvilProxy ツールキットの機能を利用したハイブリッド戦略を採用していることが観察されています。目的は、相当数の Microsoft 365 ユーザー アカウントをターゲットにし、最終的に 2023 年 3 月から 6 月までの期間内に世界中の多数の組織に約 120,000 件のフィッシングメールを配布することです。
重要なのは、侵害された多数のユーザーのうち、約 39% が経営幹部であることが判明していることです。この内訳は CEO が 9%、CFO が 17% です。これらの攻撃は、機密性の高い財務リソースや重要な情報にアクセスできる人物にも集中しています。印象的なのは、侵害されたすべてのユーザーの少なくとも 35% が、アカウント セキュリティの追加レイヤーを選択していたことです。
サイバーセキュリティの専門家は、これらの組織化されたキャンペーンは、企業内での多要素認証 (MFA) の導入の強化に対する直接的な対応であると指摘しています。その結果、攻撃者は、中間者攻撃 (AitM) フィッシング キットを組み込むことで、新たなセキュリティ障壁を乗り越える戦略を採用しました。これらのキットは、認証情報、セッション Cookie、およびワンタイム パスワードをキャプチャするように設計されており、これにより、攻撃者はフィッシングされたユーザーが高レベルの重要性を持っているかどうかをリアルタイムで識別できるようになります。この正確な識別により、攻撃者はアカウントへのアクセスを迅速に取得し、価値の低いプロファイルを無視しながら、収益性の高いターゲットに集中することができます。
EvilProxy のようなフィッシング キットにより、スキルの低いサイバー犯罪者が高度な攻撃を実行できるようになる
EvilProxy は、2022 年 9 月に研究者によって初めて報告され、Apple iCloud、Facebook、GoDaddy、GitHub、Google、Dropbox、Instagram、Microsoft、NPM、PyPI、RubyGems、Twitter、 Yahoo、Yandex など。このツールキットはサブスクリプション サービスとして販売されており、月額 400 ドルの基本料金で利用できます。ただし、Google アカウントをターゲットにすると、その認証情報に関連付けられた価値が高くなるため、コストが 600 ドルに上昇する可能性があります。
Phishing-as-a-Service (PhaaS) ツールキットは、サイバー犯罪情勢における顕著な進化を表しており、技術的スキルの低い犯罪者の参入障壁を効果的に軽減しています。この進化により、シームレスでコスト効率の高いアプローチを維持しながら、大規模な高度なフィッシング攻撃の実行が可能になります。
このように簡単で予算に優しいインターフェイスを備えた脅威が利用できるようになったことで、多要素認証 (MFA) フィッシング活動の成功率が大幅に増加しました。この傾向は、サイバー犯罪者が採用する戦術の変化を意味し、MFA システムの脆弱性を効率的に悪用し、攻撃の規模を拡大できるようになります。
EvilProxy 脅威アクターは、詐欺メールを使用して無防備な被害者をおびき寄せる
記録された攻撃活動は、Adobe や DocuSign などの信頼できるサービスを装ったフィッシングメールの配布から始まります。この欺瞞的なアプローチは、受信者を誘導して電子メール内にある悪意のある URL と対話させることを目的としています。これらの URL がクリックされると、多段階のリダイレクト シーケンスがトリガーされます。目標は、本物のポータルを模倣するように巧妙に設計された Microsoft 365 に似たログイン ページにターゲットを誘導することです。偽のログイン ページはリバース プロキシとして機能し、フォームを通じて送信された情報を個別に取得します。
このキャンペーンの注目すべき要素は、トルコの IP アドレスから発信されるユーザー トラフィックを意図的に除外していることです。この特定のトラフィックは正規の Web サイトにリダイレクトされており、キャンペーンのオーケストレーターの起源がその国にある可能性を示唆しています。
アカウント乗っ取りが成功すると、脅威アクターは組織のクラウド環境内に強固な足場を築き始めます。これは、2 要素認証アプリなどの独自の多要素認証 (MFA) メソッドを導入することで実現されます。この戦略的な動きにより、攻撃者は一貫したリモート アクセスを維持できるようになり、システム内の横方向の移動や追加のマルウェアの拡散が容易になります。
取得したアクセスは収益化の目的で活用されます。脅威アクターは、金融詐欺に関与したり、機密データを窃取したり、侵害されたユーザー アカウントを他の悪意のある組織に販売したりすることさえ選択する可能性があります。現在の動的な脅威の状況では、リバース プロキシの脅威 (特に EvilProxy に代表される) は非常に強力な脅威であり、過去に利用されていたそれほど洗練されていないフィッシング キットの能力を上回っています。特に、多要素認証 (MFA) であっても、これらの高度なクラウドベースの脅威を免れることはできません。
