ONNX Storeと呼ばれる新しいフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが、PDF添付ファイルのQRコードを使って金融会社の従業員のMicrosoft 365アカウントを標的にしている。
このプラットフォームは、Microsoft 365とOffice 365の両方の電子メールアカウントを標的とすることができ、Telegramボットを介して動作し、二要素認証(2FA)バイパスメカニズムを備えています。
この活動を発見したEclecticIQの研究者は、ONNXはアラビア語を話す脅威行為者MRxC0DERが管理するCaffeineフィッシングキットのリブランド版であると考えている。
Mandiantは2022年10月にCaffeineを発見したが、このプラットフォームは欧米のサービスではなくロシアと中国のプラットフォームを標的にしていた。
ONNXの攻撃
EclecticIQは2024年2月にONNX攻撃を観測し、銀行、信用組合サービス・プロバイダー、民間資金調達会社の従業員を標的とした、悪意のあるQRコードを含むPDF添付のフィッシング・メールを配信しました。
メールは人事(HR)部門になりすまし、給与のアップデートを誘い文句に、AdobeやMicrosoftを模したPDFを開かせます。
モバイル端末でQRコードをスキャンすると、標的となった組織のフィッシング・プロテクションが回避され、被害者は正規のMicrosoft 365ログイン・インターフェースを模倣したフィッシング・ページに誘導される。
被害者は偽のログインページでログイン認証情報と2FAトークンを入力するよう促され、フィッシングサイトはこれらの情報をリアルタイムで取得する。
盗まれた認証情報と2FAトークンは、WebSocketを介して攻撃者に即座に中継され、攻撃者は認証とMFAバリデートされたトークンの有効期限が切れる前にターゲットのアカウントを乗っ取ることができる。
そこから攻撃者は侵害されたメールアカウントにアクセスし、メールや文書などの機密情報を流出させたり、マルウェアやランサムウェア攻撃のためにダークウェブで認証情報を販売したりすることができます。
堅牢なフィッシング・プラットフォーム
このサービスを利用するサイバー犯罪者から見れば、ONNXは魅力的で費用対効果の高いプラットフォームである。
オペレーションの中心はTelegramにあり、ボットによってクライアントは直感的なインターフェースを通じてフィッシング・オペレーションを管理することができる。さらに、どんな問題でもユーザーをサポートする専用のサポート・チャンネルも用意されている。
Microsoft Office 365のフィッシング・テンプレートはカスタマイズ可能で、ターゲットにフィッシング・メールを送信するためのウェブメール・サービスも利用できる。
また、ONNXフィッシング・キットは、ページ・ロード中に自己復号化する暗号化されたJavaScriptコードを使用しており、アンチ・フィッシング・ツールやスキャナーによる検出を回避するための難読化レイヤーを追加している。
さらに、ONNXはCloudflareのサービスを利用して、アンチボットCAPTCHAやIPプロキシなど、ドメインがダウンするのを防いでいる。
また、レポートやテイクダウンによって業務が中断されないようにするための防弾ホスティングサービスや、キャンペーンを安全に管理するためのリモート・デスクトップ・プロトコル(RDP)サービスもある。
ONNXは、次のように要約された4つのサブスクリプション層を提供しています:
- ウェブメール・ノーマル(月額150ドル):カスタマイズ可能なテキストエレメント、パスワードループ、Telegram ID統合、カスタムリダイレクトリンク、カスタムドメインロゴの自動取得を提供。
- Office Normal(月額$200):トゥルーログイン、ワンタイムパスワード、カントリーブロック、カスタムページタイトル、パスワードループ、Telegram統合、カスタムロゴが含まれます。
- Office Redirect(月額$200):ワイルドカードリンク、完全に検出不可能な受信トレイリンク、カスタムページタイトル、ダイナミックコード、および2FAリダイレクト用の電子メール自動取得機能を提供します。
- Office 2FA Cookie Stealer (月額400ドル):2FAクッキーをキャプチャし、オフライン2FAをサポートし、カスタムページタイトル、Telegram統合、ダイナミックコード、リンク統計を含む。
全体として、ONNX StoreはMicrosoft 365アカウント保有者、特に広範な金融サービス分野に従事する企業にとって危険な脅威である。
その巧妙なフィッシング攻撃から保護するために、管理者は検証されていないソースからのPDFやHTMLの添付ファイルをブロックし、信頼されていない証明書や期限切れの証明書を持つHTTPSウェブサイトへのアクセスをブロックし、リスクの高い特権アカウントにFIDO2ハードウェアセキュリティキーを設定することが推奨される。
EclecticIQはまた、フィッシングURLにつながるQRコードを含む悪意のあるPDFファイルを検出するのに役立つYARAルールをレポートで紹介している。
Comments