マイクロソフト、Azure ADを利用した多段階のフィッシング攻撃を警告

news

盗んだ認証情報を使ってターゲットのネットワークにデバイスを登録し、そのデバイスを使ってフィッシングメールを配信するという大規模で多段のフィッシング攻撃をMicrosoftのアナリストが発見し警告しています

https://www.microsoft.com/security/blog/2022/01/26/evolved-phishing-device-registration-trick-adds-to-phishers-toolbox-for-victims-without-mfa/
www.microsoft.com

この攻撃では、従来のフィッシング手法に加えて、攻撃者が操作するデバイスを組織のネットワークに接続し、攻撃をさらに拡大させるという新しい手法が用いられています。この攻撃の第2段階では、IDセキュリティの重要な柱である多要素認証(MFA)を実装していない被害者に対して成功していることが確認されました。MFAを導入していない場合は、BYOD(Bring-Your-Own-Device:自分のデバイスを持ち込むこと)の概念を利用して、盗んだばかりの認証情報を使ってデバイスを登録することが可能になります。

報告書によると、この攻撃は、多要素認証(MFA)保護が施されていないアカウントを介してのみ発生しており、そのために乗っ取りが容易だったとのことでした

この攻撃は2段階に分けて行われ、最初の段階では受信者の電子メール認証情報を盗み、文書の確認と署名を促すDocuSignをテーマにした電子メールで受信者を誘いました。

埋め込まれたリンクは、被害者をOffice 365のログインページを模したフィッシングURLに誘導し、信憑性を高めるために被害者のユーザー名をあらかじめ入力します。

セキュリティの弱いポイントを狙う

マイクロソフト社の測定データによると、攻撃の第一段階では主にオーストラリア、シンガポール、インドネシア、タイに所在する企業に焦点が当てられていました。

攻撃者は、遠隔地で働く従業員、保護が不十分なマネージドサービスポイント、および厳格なセキュリティポリシーの範囲外で運用されている可能性のあるその他のインフラストラクチャを侵害しようとしました。

マイクロソフトのアナリストは、受信箱ルールの異常な作成を検出することで、この脅威を発見しました。このルールは、攻撃者が受信箱をコントロールできるようになった直後に追加され、疑惑を招くようなIT通知メッセージを排除するためのものです。

攻撃者は、リモートPowerShell接続を利用して、New-InboxRuleコマンドレットにより受信箱ルールを実装し、電子メールメッセージの件名や本文に含まれるキーワードに基づいて特定のメッセージを削除。この受信箱ルールにより、攻撃者は危険にさらされたユーザーに送信された可能性のあるメール未送達レポートやIT通知メールを削除することで、危険にさらされたユーザーの疑念を抱かせないようにしていました。

その後の調査により、複数の組織の100以上のメールボックスが、「Spam Filter」という名前の悪意のあるメールボックスルールで侵害されていたことが判明しました。

Azure ADの登録

認証情報を手に入れた攻撃者は、自分のマシン(Windows 10)にOutlookをインストールし、ユーザーのメールアカウントにログイン。この行為により、攻撃者のデバイスが会社のAzure Active Directoryに自動的に接続され、登録されます

マイクロソフトは、認証情報が盗まれてもAzure ADのMFAポリシーがあれば不正な登録を許可しなかっただろうと付け加えています。

攻撃者のデバイスがターゲット組織のネットワークに追加されると、攻撃は第2段階に進み、標的となった企業の従業員や、契約者、サプライヤー、パートナーなどの外部のターゲットにメールを送信します。

これらのメッセージは信頼できるワークスペースから送信されているため、セキュリティ・ソリューションによるフラグは立てられず、攻撃の成功の可能性を高めることが可能となります

また不正なデバイスを登録することで、ラテラル・フィッシングを促進するようなポリシーを適用することが予測されます

Azure ADは、デバイスが認証を試みたときにアクティビティ・タイムスタンプをトリガーしますが、これが防御側にとって不審な登録を発見するタイミングとなります

もしこの登録に気づかない場合、攻撃者は盗んだ有効な認証情報を使って、ドメイン内の認識された信頼できる部分からOutlookでメッセージを送信することができます。

フィッシング・メッセージの第2波は、第1波よりもはるかに規模が大きく「Payment.pdf」を添付したSharePointをテーマにしたメールを8,500件以上送信されていることがわかりました。

このフィッシング攻撃は巧妙で中程度の成功を収めましたが、標的となった企業が以下のような対策を行っていれば、これほどの効果は得られなかったでしょう。

  • 全社員がOffice 365アカウントでMFAを有効にしていた。
  • 受信箱ルールの作成を検知できるエンドポイント保護ソリューションを導入する。
  • Azure ADのデバイス登録を綿密に監視している。
  • Azure ADへの登録にはMFAが必要である。

Comments

Copied title and URL