Microsoft 365

フィッシング・アズ・ア・サービス(PhaaS)の新しいプラットフォーム「Rockstar 2FA」が出現し、Microsoft 365の認証情報を盗むための大規模な中間者攻撃(AiTM)を容易にした。

他のAiTMプラットフォームと同様に、Rockstar 2FAは、攻撃者が有効なセッション・クッキーを傍受することで、標的アカウントの多要素認証(MFA)保護をバイパスすることを可能にします。

これらの攻撃は、Microsoft 365を模倣した偽のログインページに被害者を誘導し、認証情報を入力させることで機能する。

AiTM サーバはプロキシとして機能し、これらの認証情報を Microsoft の正規サービスに転送して認証プロセスを完了させ、標的のブラウザに送り返される際にクッキーをキャプチャします。

このクッキーは、たとえ MFA で保護されていても、脅威者が被害者のアカウントに直接アクセスするために使用することができ、脅威者は認証情報を全く必要としません。

Attack flow
Rockstar 2FAの攻撃フロー
ソースはこちら:Trustwave

ロックスター2FAの台頭

Trustwaveの報告によると、Rockstar 2FAは実際には、それぞれ2023年初めと終わりに人気を博したフィッシングキットDadSecとPhoenixのアップデート版である。

研究者によると、Rockstar 2FAは2024年8月以降、サイバー犯罪コミュニティで大きな人気を得ており、2週間で200ドル、APIアクセス更新で180ドルで販売されている。

The Rockstar 2FA admin panel
Rockstar 2FAの管理パネル
Source:Trustwave

このサービスはTelegramなどで宣伝されており、以下のような機能の長いリストを誇っている:

  • Microsoft 365、Hotmail、Godaddy、SSOのサポート
  • 検出を回避するためのランダムなソースコードとリンク
  • 被害者スクリーニングのためのCloudflare Turnstile Captcha統合
  • 自動化されたFUD添付ファイルとリンク
  • リアルタイムログとバックアップオプションを備えたユーザーフレンドリーな管理パネル
  • 自動ブランディング(ロゴ、背景)を備えた複数のログインページテーマ

このサービスは2024年5月以降、5,000を超えるフィッシング・ドメインを設定し、様々なフィッシング・オペレーションを促進している。

研究者によると、彼らが観測した関連フィッシングキャンペーンは、ターゲットに悪意のあるメッセージを広めるために、正当なメールマーケティングプラットフォームや侵害されたアカウントを悪用している。

メッセージは、文書共有通知、IT部門通知、パスワードリセット警告、給与関連メッセージなど、さまざまな誘い文句を使用している。

Trustwaveによると、これらのメッセージは、QRコード、正規の短縮サービスからのリンクの組み込み、PDFの添付ファイルなど、さまざまなブロック回避方法を利用しているという。

Phishing emails sent from Rockstar 2FA
Rockstar 2FA
から送信されたフィッシングメール:Trustwave

Cloudflareのターンスタイル・チャレンジはボットのフィルタリングに使用され、攻撃には有効なターゲットがMicrosoft 365のログイン・フィッシング・ページに誘導される前のIPチェックも含まれている可能性が高い。

Volume of Cloudflare Turnstile challenge requests linked to Rockstar 2FA
Rockstar 2FA にリンクされた Cloudflare Turnstile challenge request の量
出典:Trustwave:Turstwave

訪問者がボット、セキュリティ研究者、または一般的に対象外のターゲットと判断された場合、代わりに無害な車をテーマにしたおとりページにリダイレクトされる。

ランディング・ページのJavaScriptは、AiTMサーバーの訪問者の評価に基づいて、フィッシング・ページか車をテーマにしたおとりページのどちらかを解読し、取得する。

Redirecting to a phishing or a decoy page
フィッシング・ページまたはおとりページへのリダイレクト
Source:Trustwave

Rockstar 2FAの出現と普及は、フィッシングの運営者の執拗さを反映している。彼らは、最近、大規模な法執行活動によって、最大のPhaaSプラットフォームの1つをダウンさせ、その運営者を逮捕したにもかかわらず、不正なサービスを提供し続けている。

このような汎用ツールがサイバー犯罪者にとって低コストでアクセス可能であり続ける限り、大規模で効果的なフィッシング・オペレーションのリスクは依然として大きい。