マイクロソフトは、フィッシング・アズ・ア・サービス(PhaaS)プラットフォームであるONNXの顧客が、少なくとも2017年以降、米国および世界中の企業や個人を標的にするために使用していた240のドメインを押収した。
マイクロソフトのDigital Defense Report 2024によると、ONNX(CaffeineおよびFUHRERとしても知られる)は、2024年上半期のフィッシング・メッセージの量でAdversary in the Middle(AitM)フィッシング・サービスのトップだった。毎月数千万から数億通のフィッシングメールがMicrosoft 365アカウントや他の様々なハイテク企業の顧客を標的にしていた。
これらの “DIY YOURSELF “キットは、マイクロソフトが毎月観測している数千万から数億のフィッシングメールのかなりの部分を占めており、詐欺的なONNXオペレーションは2024年上半期のトップ5のサプライヤーだった」とマイクロソフトは伝えている。
「ONNXは、Google、DropBox、Rackspace、Microsoftなど、テクノロジー分野のさまざまな企業をターゲットにしたフィッシングキットを提供していた。
ONNXは、月額150ドルから550ドルの複数のサブスクリプションモデル(Basic、Professional、Enterprise)を使用して、Telegram上でフィッシングキットを宣伝・販売していた。
また、Telegramのボットを介して制御される攻撃には、2要素認証(2FA)のバイパスメカニズムが組み込まれており、最近では、QRコードフィッシング(キッシングとも呼ばれる)の手口を使って、金融会社の従業員(銀行、信用組合のサービスプロバイダー、プライベートファンディング会社)を標的にしていた。
これらの電子メールには、悪意のあるQRコードを含むPDFの添付ファイルが含まれており、潜在的な被害者を正規のMicrosoft 365ログインページに似せたページにリダイレクトし、認証情報の入力を求めていました。
「被害者は通常、個人所有のモバイルデバイス(会社のBYOD(Bring Your Own Device)プログラムの一環として、業務目的で使用する可能性がある)でQRコードをスキャンするため、脅威者はキッシング攻撃を活用する」と、米国の証券業界規制機関であるFINRAも最近のアラートで警告している。「その結果、これらの攻撃は一般的なエンドポイント検知では監視が非常に困難である。
ONNXを使用するサイバー犯罪者は、フィッシング・キットが2FAリクエストを傍受することで2要素認証(2FA)を回避するのに役立つため、攻撃の実行において特に効果的である。また、フィッシング・ドメインの削除を遅らせる防弾ホスティング・サービスや、ページのロード中に暗号化されたJavaScriptコードを使用し、アンチフィッシング・スキャナーによる検知を回避するための難読化レイヤーを追加している。
「このような攻撃は、サイバーセキュリティ・プロバイダーにとって、セキュリティーやスキャニングの機能からは読み取れないイメージとして現れるため、ユニークな挑戦となる」と、マイクロソフトのデジタル犯罪ユニットのアシスタント・ジェネラル・カウンセルであるスティーブン・マサダは本日述べている。
ONNXの運営は、Dark Atlasのセキュリティ研究者がその所有者であるAbanoub Nady(オンラインではMRxC0DERとしても知られている)の身元を発見し、公開した後、6月に突然停止した。
「バージニア州東部地区で本日公開された民事裁判所命令により、悪意のある技術インフラはマイクロソフトにリダイレクトされ、詐欺的なONNXの運営とそのサイバー犯罪の顧客を含む脅威行為者のアクセスは遮断され、今後これらのドメインがフィッシング攻撃に使用されることは永久になくなります。
「私たちの目標は、すべてのケースにおいて、悪意のある行為者を活動するために必要なインフラから切り離すことによって顧客を保護し、参入障壁とビジネスを行うコストを大幅に引き上げることによって、将来のサイバー犯罪行為を抑止することです。我々は、実際に登録された “ONNX “の名称とロゴの商標権者である共同原告のLF(Linux Foundation) Projects, LLCとともに参加する。”
この訴訟で押収された240のドメインの完全なリストは、公開されていない訴状の付録で見ることができる。
マイクロソフトと司法省は10月にも、米国政府職員やロシアの非営利組織に対するスピアフィッシング攻撃に使用された100以上のドメインを押収し、ロシアのColdRiver FSBハッカーの攻撃インフラを破壊した。
また昨年12月には、マイクロソフトの電子メールアカウントを7億5,000万件以上不正に登録し、それを他のサイバー犯罪者に販売することで数百万ドルを得ていた大手サイバー犯罪アズ・ア・サービス・プロバイダー(Storm-1152)に対して、同社のデジタル犯罪対策部門が対策を講じた。
Comments