ロシアに関連する可能性のある脅威行為者による活発なキャンペーンが、デバイスコードフィッシングを使用して、関心のある組織の個人のMicrosoft 365アカウントを標的としている。
ターゲットは、ヨーロッパ、北米、アフリカ、中東の政府、NGO、ITサービスおよびテクノロジー、防衛、電気通信、医療、エネルギー/石油およびガス部門です。
マイクロソフト脅威インテリジェンスセンターは、デバイスコードフィッシングキャンペーンの背後にいる脅威行為者を「Storm-237」として追跡しており、利害関係、被害者学、および手口に基づいて、研究者は、この活動がロシアの利害に一致する国民国家の活動に関連していると中程度の確信を持っています。
デバイスコードによるフィッシング攻撃
入力制約のあるデバイス(スマートTVや一部のIoTのように、キーボードやブラウザのサポートがないもの)は、スマートフォンやコンピュータのような別のデバイスで認証コードを入力することで、ユーザーがアプリケーションにサインインできるようにするコード認証フローに依存しています。
マイクロソフトの研究者は、昨年8月以降、Storm-2372がこの認証フローを悪用し、ユーザーを騙して正規のサインインページに攻撃者が生成したデバイスコードを入力させていることを発見した。
工作員はまず、WhatsApp、Signal、Microsoft Teamsなどのメッセージング・プラットフォーム上で「ターゲットに関連する著名人を装って」ターゲットとの接続を確立した後、攻撃を開始する。
Source:マイクロソフト
脅威者は、電子メールやメッセージで偽のオンライン会議の招待状を送る前に、徐々に信頼関係を築きます。
研究者によると、被害者は攻撃者が生成したデバイスコードを含むTeamsミーティングの招待状を受け取ります。
「招待状はユーザーをおびき寄せ、メッセージングサービスをエミュレートするデバイスコード認証リクエストを完了させます。これによりStorm-2372は被害者のアカウントに最初にアクセスすることができ、電子メールハーベスティングなどのGraph APIデータ収集活動が可能になります」とマイクロソフトは述べている。
これによりハッカーは、盗まれたトークンが有効である限り、パスワードなしで被害者のマイクロソフトサービス(電子メール、クラウドストレージ)にアクセスできるようになる。
Source:マイクロソフト
しかし、マイクロソフトによると、攻撃者は現在、デバイスコードのサインインフローでMicrosoft Authentication Brokerの特定のクライアントIDを使用しており、これにより新しいトークンを生成することができる。
これにより、脅威者はクライアントIDを使用して、マイクロソフトのクラウドベースのIDおよびアクセス管理ソリューションであるEntra IDにデバイスを登録することができるため、新たな攻撃と永続性の可能性が広がります。
「Storm-2372は、同じリフレッシュ・トークンと新しいデバイスIDを使用して、プライマリ・リフレッシュ・トークン(PRT)を取得し、組織のリソースにアクセスすることができます。私たちは、Storm-2372が接続されたデバイスを使用して電子メールを収集することを確認しています。
Storm-2372に対する防御
Storm-2372が使用するデバイスコードフィッシング攻撃に対抗するため、マイクロソフトは可能な限りデバイスコードフローをブロックし、Microsoft Entra IDの条件付きアクセスポリシーを実施して、その使用を信頼できるデバイスまたはネットワークに制限することを提案しています。
デバイスコードフィッシングが疑われる場合、直ちに「revokeSignInSessions」を使用してユーザーのリフレッシュトークンを失効させ、影響を受けるユーザーに対して再認証を強制する条件付きアクセスポリシーを設定する。
最後に、Microsoft Entra ID のサインイン・ログを使用して、短期間に大量の認証試行、認識できない IP からのデバイス・コード・ログイン、複数のユーザに送信される予期しないデバイス・コード認証のプロンプトを監視し、迅速に特定する。
Comments