この記事は、VaronisセキュリティスペシャリストのTom Barneaが執筆しました。
フィッシング攻撃に関する最近のセキュリティ意識向上トレーニングについて考えてみましょう。その中には、不審なリンクをクリックしないようにするためのガイドラインや、「O」と「0」の区別など、微妙な文字の違いを識別するための演習が含まれていたことでしょう。
残念なことに、テクノロジー初心者のユーザーでもフィッシングメールを簡単に見分けることができた時代は終わりを告げた。
ここ数年、攻撃者はより洗練され、独創的になっている。AIの急速な進化がこうした攻撃の質の向上に大きく貢献しているため、英語を話さない脅威行為者にとって、タイプミスや文法の問題はもはや心配の種ではありません。
最近、VaronisのMDDR(Managed Data Detection and Response)フォレンジック・チームは、悪意のある電子メールによって脅威行為者が組織へのアクセスを可能にする巧妙なフィッシング・キャンペーンを調査しました。
このブログ記事では、脅威行為者が検知を回避するために使用した手口を明らかにし、調査中に発見されたIoCを共有します。
技術的概要
英国を拠点とするある保険会社の顧客は、ユニークなフィッシング攻撃に直面しました。それは、米国のIPアドレスから作成された削除ルールがエグゼクティブ・マネージャーのメールボックスで見つかったことから始まりました。a」と名付けられたこのルールは、メールアドレスに特定のキーワードを含むメールを永久に削除するものだった。
この攻撃が顧客に警告された後、Varonis MDDRチームは「ML Payment #05323」というタイトルのフィッシングメールとその送信者を特定しました。私たちは、すべてのメール受信者、対応した人、報告した人、および脅威行為者のドメインとのその他の通信をマッピングしました。この包括的なスプレッドシートは、インシデントの封じ込めに極めて重要でした。
当初、侵害の唯一の指標は、受信者の電子メールアドレスと削除ルール作成イベントのソースIPでしたが、これは一般的なマイクロソフトのIPであることが判明したため、このケースではあまり役に立ちませんでした。
しかし、フィッシングメールの送信元が信頼できる人物であることが判明し、調査は興味深い展開を見せました。その人物とは、大手国際海運会社のCEOで、当社の顧客企業の従業員と以前に連絡を取り合っていました。脅威者はおそらくCEOのメールアカウントを侵害し、それを使ってさらに多くの組織に被害を与えたのでしょう。
削除ルールの特定のキーワードは、送信者のドメインの一部でした。このドメイン宛またはドメインからのメールをすべて消去し、痕跡を残さないように設計されていました。次のステップは、フィッシングの手法を理解するためにオリジナルのEMLファイルを分析することだった。
オリジナルのフィッシング・メールは、組織内の26人の受信者に送られた。PDFファイルを添付する代わりに、メールにはAWSサーバーでホストされているPDFへのリンクが含まれていました。
このPDFはOneDriveの公式メッセージのように見え、送信者がファイルを共有したことを示していた。サイバーセキュリティの専門家であれば、この電子メールをフィッシングの試みと見抜くかもしれないが、高品質のメッセージは一般ユーザーを簡単に欺くことができる。
興味深いことに、PDFリンクには “atoantibot “というフレーズが含まれていた。ATOはアカウント乗っ取りの略である。一見すると、このリンクはATO攻撃を防御するように見えるが、フィッシングの試みは結局のところ正反対だった。この “ハッカーのユーモア “については、この記事の後半で再び取り上げる。
攻撃の一部を展開するために、脅威者は、開発者がアプリケーションやウェブサイトを簡単に構築、デプロイ、スケーリングできる統合クラウドプラットフォームであるパブリックプラットフォームRenderを利用した。正規のプラットフォームを活用することで、攻撃者は悪意のある活動をシームレスに溶け込ませ、メールセキュリティシステムによる脅威の検知を困難にしました。
共有ドキュメントの表示」をクリックすると、ユーザーはマイクロソフトの偽認証ページである「login.siffinance[.]com」にリダイレクトされました。この時点で被害者が認証情報を入力すると、攻撃者は目的を達成しました。その後、ユーザーはマイクロソフト・オフィスの公式サイトにリダイレクトされ、この事件は不具合のように思われた。
前述の「ハッカーのユーモア」に話を戻すと、攻撃者は悪意のあるドメインを無効化(または停止)しているが、今日アクセスしようとすると、Rickrollingとして知られる人気のあるインターネット上のいたずらにリダイレクトされる。
フィッシング・ページで認証情報を入力した後、被害者は不可解にも攻撃者の電子メールに返信してしまった。しかし、顧客は送信されたメールを取り出すことができなかったため、メッセージの内容は謎である。2分後、被害者が英国にいるにもかかわらず、米国のIPアドレス(138.199.52[.]3)からのログイン成功が検出されました。この「不可能な移動」によって、攻撃者のアクセスが確認されました。
幸いなことに、当社の顧客のセキュリティ・チームは迅速に対応し、30分以内にアカウントを無効にしてセッションを終了し、ユーザーの認証情報をリセットしました。攻撃者が成功させた唯一のアクションは、削除ルールの作成でした。
調査の結果、この事件は複数の企業をターゲットにした広範なフィッシング・キャンペーンの一部であることが判明しました。攻撃者は、検知と調査を困難にするいくつかの巧妙な手口を用いていました:
- 痕跡を消す痕跡を消す:被害者のM365環境にアクセスした後、最初の行動は削除ルールを作成することでした。
- 信頼できる送信者アドレスの使用:攻撃者は使い慣れたメールアドレスを使用し、従業員の疑念を軽減した。
- 合法的なプラットフォームの活用AWSは悪意のあるPDFをホストし、Renderは攻撃ウェブサイトの一部を構築するために使用されました。これらのプラットフォームは、攻撃者がメールセキュリティソフトウェアを回避するのに役立ちました。
- ロシアの入れ子人形の手法入れ子人形と同様に、攻撃者は複数のリンクを互いに埋め込み、最終的なフィッシング・サイトを不明瞭にする複雑な連鎖を作り出しました。それぞれのリンクは、メールセキュリティフィルターを回避するために信頼できるプラットフォームを使用し、別の正規のページにつながっていました。これにより、フィッシングメールは無害に見え、発見が難しくなった。ユーザーが偽の認証ページに到達する頃には、複数のサイトをナビゲートすることに疲れ、注意力が低下し、詐欺に引っかかりやすくなっていた。
推奨事項
ユーザーのセキュリティ意識
サイバーセキュリティではよくあることだが、プロセスはユーザーのセキュリティ意識に始まり、ユーザーのセキュリティ意識に終わる。一般的なユーザーが巧妙なフィッシングメールを見分けるのは難しいかもしれませんが、こうした罠に引っかからないようにするために、ユーザーを教育できるベストプラクティスがいくつかあります:
- メールの 習慣:電子メールの習慣:電子メールのリンクをクリックするのではなく、関連するプラットフォームから直接メッセージや共有ファイルを開くようユーザーに促す。
- リンクの 確認:メールリンクにカーソルを合わせてURLを確認する。メールの内容と論理的に一致していることを確認する。
- クレデンシャルの 安全性認証情報を入力する前に、認証ページのURLを確認する。
- フィッシングの認識フィッシングメールを識別し、関連するリスクを理解するようユーザーを教育する。
技術的対策
以下は、フィッシングやアカウント乗っ取り攻撃から守るための技術的な対策です:
- パスワード・ポリシー:複雑なパスワードを強制し、90日ごとの変更を義務付ける。
- 多要素認証(MFA):すべてのユーザーにMFAを導入する。
- 電子メールセキュリティ:堅牢な電子メールセキュリティソリューションを採用する。
- 報告の仕組みユーザーが不審なメールを簡単に報告できる方法を提供する。
- 外部からの電子メールに対する警告外部ソースから受信したメールに対するデフォルトの警告を追加する。
IoC
138.199.52[.]3 siffinance[.]com login.siffinance[.]com www.siffinance[.]com ywnjb.siffinance[.]com atoantibot.onrender[.]com file365-cloud.s3.eu-west-2.amazonaws[.]com
Varonisのサポート
Varonisは、リアルタイムの電子メールおよび閲覧アクティビティ、ユーザーおよびデータアクティビティを監視し、サイバーフォレンジック調査のための包括的なツールを提供します。これにより、組織を標的としたフィッシングキャンペーンの影響と潜在的なリスクを迅速に判断することができます。
ヴァロニスのMDDRチームは、24時間365日体制でデータセキュリティの専門知識とインシデントレスポンスを提供し、事実上あらゆるセキュリティ上の懸念に対する継続的なサポートを保証します。
実際のVaronisをご覧になりたいですか?今すぐデモをご予約ください。
この記事は元々Varonisブログに掲載されたものです。
スポンサーおよび執筆はVaronisです。
Comments