これまで文書化されていなかったフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「VENOM」を使用する脅威者が、複数の業界のC-suiteエグゼクティブの認証情報を標的としている。
この作戦は少なくとも昨年11月から活動しており、企業のCEO、CFO、または副社長を務める特定の個人を標的としているようだ。
また、VENOMはクローズド・アクセスであるようで、パブリック・チャネルやアンダーグラウンド・フォーラムでは宣伝されていないため、研究者の目に触れる機会が少ない。
VENOMの攻撃チェーン
サイバーセキュリティ企業Abnormalの研究者が観測したフィッシングメールは、社内コミュニケーションの一環としてMicrosoft SharePointのドキュメント共有通知を装っていた。
メッセージは高度にパーソナライズされており、偽のCSSクラスやコメントなどのランダムなHTMLノイズが含まれている。また、攻撃者はターゲットに合わせた偽の電子メールスレッドも注入し、信頼性を高めています。
被害者がアクセスするためにスキャンするために、UnicodeでレンダリングされたQRコードが提供される。この手口は、スキャン・ツールを回避し、攻撃をモバイル・デバイスに移行させるように設計されている。
ソースはこちら:異常
「ターゲットの電子メールアドレスは、URLフラグメント(#文字の後の部分)で二重にBase64エンコードされている」とAbnormalの研究者は説明する。
“フラグメントはHTTPリクエストで送信されることはなく、ターゲットの電子メールはサーバー側のログやURLレピュテーションフィードから見えないようになっている。” Abnormalの研究者は説明する。
被害者がQRコードをスキャンすると、セキュリティ研究者やサンドボックス環境のフィルターとして機能するランディングページに移動し、本物のターゲットだけがフィッシング・プラットフォームにリダイレクトされるようにする。フィッシング・プラットフォームにリダイレクトされるのは、本物のターゲットだけである。脅威の対象外のユーザーは、疑惑を減らすために正当なウェブサイトにリダイレクトされる。
テストに合格したユーザーは、マイクロソフトのログイン・フローをリアルタイムでプロキシするクレデンシャル・ハーベスティング・ページに誘導され、クレデンシャルと多要素認証(MFA)コードをマイクロソフトのAPIにリレーし、セッション・トークンをキャプチャする。
Source:アブノーマル
AiTM(adversary-in-the-middle)手法とは別に、Abnormalは、被害者を騙して不正なデバイスのマイクロソフト・アカウントへのアクセスを承認させるデバイス・コード・フィッシングの手口も確認している。
ソースAbnormal
この手口は、その有効性とパスワードリセットへの耐性から、昨年から非常に人気が高まっており、現在少なくとも11のフィッシングキットがオプションとして提供している。
どちらの方法でも、VENOM は認証プロセス中に持続的なアクセスを素早く確立する。AiTM フローでは、被害者のアカウントに新しいデバイスを登録する。デバイスコード・フローでは、アカウントへのアクセスを提供するトークンを取得する。
研究者は、MFA はもはや防御として十分ではないと指摘している。経営幹部は、FIDO2認証を使用し、不要な場合はデバイス・コード・フローを無効にし、より厳格な条件付きアクセス・ポリシーを導入することでトークンの乱用を阻止すべきである。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 220px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Mythosが見つけたものの99%はまだパッチが当てられていない。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments