Microsoft 365 Defender の研究者は最近、複数の Web サービスでホストされている大規模なビジネス メール侵害 (BEC) インフラストラクチャを発見し、混乱させました。攻撃者は、このクラウドベースのインフラストラクチャを使用して、フィッシングを介してメールボックスを侵害し、転送ルールを追加して、これらの攻撃者が金融取引に関する電子メールにアクセスできるようにしました。
このブログでは、フィッシング キャンペーンや侵害されたメールボックスから攻撃者のインフラストラクチャに至るまで、この BEC 操作を解明するための技術的な分析と旅を共有します。この脅威は、包括的な防御戦略を構築することの重要性を浮き彫りにしています。これには、攻撃者によるアクセスの取得を防ぎ、システムへの永続性を最初から作成できる強力な侵害前のソリューションと、悪意のある動作を検出する高度な侵害後の機能が含まれている必要があります。豊富な脅威データを提供し、複雑なサイバー攻撃を調査して解決するための高度なハンティング ツールを提供します。
この調査では、アナリストからの専門家の洞察で強化されたクロスドメインの脅威データが、 Microsoft Defender for Office 365などの製品による攻撃の検出と、運用とインフラストラクチャの停止の両方の観点から、現実世界の脅威に対する保護を促進する方法も示しています。
複数の Web サービスでホストされている攻撃者のインフラストラクチャを使用することで、攻撃者は BEC キャンペーンの特徴である密かに動作することができました。攻撃者は、さまざまな IP と時間枠に対して個別のアクティビティを実行したため、研究者が一見異なるアクティビティを 1 つの操作として関連付けることが困難になりました。ただし、攻撃者がレーダーの下にとどまろうとする方法は複数ありましたが、 Microsoft 365 Defenderのクロスドメインの可視性により、操作が明らかになりました。
図 1. Microsoft 365 Defender サービスからの信号で、研究者が BEC 攻撃を明らかにするために関連付けたもの
この可視性のこの深さと幅は、BEC を検出して阻止する上で特に重要です。これらの攻撃はフットプリントが最小限であり、防御側のアラート リストのトップに上がらない非常に低い信号を作成し、通常のノイズに溶け込む傾向があるためです。企業ネットワーク トラフィック。残念ながら、BEC 攻撃は実際の金銭的損失が発生するまで検出されない可能性があります。セキュリティ ソリューションによって提供される限定的または部分的な可視性は、電子メール トラフィック、ID、エンドポイント、およびクラウドの動作に対する包括的な可視性と、分離されたイベントを組み合わせる機能の恩恵を受けないためです。より洗練されたクロスドメイン検出アプローチを提供します。マイクロソフトの研究者は、フィッシング メール、エンドポイントでの悪意のある動作、クラウドでのアクティビティ、侵害された ID に関するインテリジェンスを武器に、点を結び付け、エンド ツー エンドの攻撃チェーンを把握し、アクティビティをインフラストラクチャまでさかのぼって追跡しました。
BEC オペレーションの妨害は、Microsoft の Digital Crimes Unit (DCU) の重点分野の1 つです。DCU は、法執行機関や業界パートナーと協力して、サイバー犯罪者が使用する運用インフラストラクチャを破壊します。このブログで取り上げた特定の BEC の運用については、業界のパートナーシップが混乱の鍵を握っていました。マイクロソフトの調査により、攻撃者がクラウド サービス プロバイダーを悪用してこのキャンペーンを実行していることが明らかになったため、マイクロソフトは Microsoft Threat Intelligence Center (MSTIC) と協力して調査結果を複数のクラウド セキュリティ チームに報告しました。チームは問題のあるアカウントを停止し、インフラストラクチャを削除しました。
フィッシングによる初期アクセス
Microsoft 365 Defender の脅威データを使用して、BEC キャンペーンを以前のフィッシング攻撃と関連付けました。この段階で盗まれた資格情報は、攻撃者が標的のメールボックスにアクセスするために使用されました。多要素認証 (MFA) は、攻撃者がメールボックスにサインインするのをブロックすることに注意することが重要です。このような攻撃は、MFA を有効にすることで防ぐことができます。
私たちの分析によると、転送ルールが作成される少し前に、メールボックスは典型的な音声メッセージのルアーと HTML 添付ファイルを含むフィッシング メールを受信しました。電子メールは、外部のクラウド プロバイダーのアドレス空間から発信されました。
図 2. BEC 攻撃に使用される資格情報を盗むために使用されるフィッシング メールの例
HTML 添付ファイルには、Microsoft サインイン ページの模倣を動的にデコードする JavaScript が含まれており、ユーザー名は既に入力されています。
図 3. ユーザー名が事前入力されたフィッシング ページ
ターゲット ユーザーがパスワードを入力すると、アニメーションが表示され、最終的に「ファイルが見つかりません」というメッセージが表示されました。
図 4. 最終的に偽のエラーを提供する前のアニメーション付きのフィッシング ページ
一方、バックグラウンドでは、JavaScript が、やはり外部のクラウド プロバイダーがホストするリダイレクタを介して攻撃者に資格情報を送信しました。
図 5. 盗んだ資格情報を攻撃者に送信するために使用される JavaScript コード
持続性と流出
クレデンシャル フィッシング攻撃によってメールボックスへのアクセス権を取得した攻撃者は、メール転送ルール ( MITRE T114.003 ) を介して永続的なデータ流出チャネルを取得しました。このキャンペーンの調査の過程で、複数の組織で何百ものメールボックスが侵害され、転送ルールが一貫して以下のパターンのいずれかに適合していることがわかりました。
| メールボックス ルール名 | 調子 |
| o365 デフォルト | 本文に含まれる場合
メールを転送する |
| o365 (デル) | 本文にex@exdigy[.]net削除メッセージが含まれる場合 |
| メールボックス ルール名 | 調子 |
| o365 デフォルト | 本文に含まれる場合
メールを転送する |
| o365 (デル) | 本文にin@jetclubs[.]biz削除メッセージが含まれている場合 |
これらの転送ルールにより、攻撃者は金融をテーマにした電子メールを、攻撃者が制御する電子メール アドレスex@exdigy.netおよびin@jetclubs.bizにリダイレクトすることができました。攻撃者は、転送された電子メールをメールボックスから削除してステルス性を維持するルールも追加しました。
図 6. 転送ルールの作成の検出を示す Microsoft 365 セキュリティ センターのアラート
クラウド内の BEC インフラストラクチャ
私たちの分析により、攻撃は堅牢なクラウドベースのインフラストラクチャによってサポートされていることが明らかになりました。攻撃者はこのインフラストラクチャを使用して、ルールの追加、侵害されたメールボックスの監視と監視、最も価値のある被害者の発見、転送された電子メールの処理など、操作を大規模に自動化しました。
攻撃者は、アナリストがアクティビティを 1 つの操作に関連付けることを困難にするための措置を講じました。たとえば、さまざまな IP や時間枠に対して個別のアクティビティを実行するなどです。ただし、攻撃は特定の IP アドレス範囲から実行されました。ユーザー エージェントには次のような共通点があります。
- 資格情報は、Exchange Online に対して、IMAP/POP3 などのレガシ プロトコルを使用するコード ベースである可能性が高いユーザー エージェント「BAV2ROPC」でチェックします。これにより、 ROPC OAuthフローが発生し、MFA が有効になっている場合は「invalid_grant」が返されるため、MFA 通知は送信されません。
- Chrome 79 での転送ルールの作成。
- 選択したターゲットに対する POP3/IMAP クライアントを使用した電子メールの流出。
外部のクラウド プロバイダーに属する IP アドレス範囲からの上記の活動を観察し、その後、他のクラウド プロバイダーで共通のパターンを共有する不正なサブスクリプションを確認したことで、攻撃者のインフラストラクチャのより完全な全体像が得られました。
攻撃者は、各 VM が特定の操作のみを実行する、明確に定義されたワーカー構造を VM で使用しました。これが、アクティビティが異なる IP ソースから発信された理由を説明しています。攻撃者はまた、既存の企業ドメインと非常によく似たさまざまな DNS レコードを設定しました。これらは、既存の電子メールの会話に溶け込むために使用されるか、特定のターゲットに対するよりカスタマイズされたフィッシング キャンペーンに使用される可能性があります。
攻撃者は、VM でさまざまなツールをプルしました。ツールの 1 つは「EmailRuler」と呼ばれるもので、 ChromeDriverを使用して侵害されたメールボックスを自動的に操作する C# アプリケーションです。盗まれた資格情報と侵害されたメールボックスの状態は、メールボックス侵害の状態と同様に、ローカルの MySQL データベースに保存されます。
図 7. EmailRuler ツールの逆コンパイル
さらに、特定の侵害されたユーザー アカウントで、攻撃者がメールボックスから電子メールを取得しようとしたことも確認しました。攻撃者の VM にある「Crown EasyEmail」というツールがこのアクティビティに使用された可能性があり、POP3/IMAP クライアントの使用に関する観察と一致しています。
Office 365 による BEC およびクラウドベースの攻撃者インフラストラクチャに対する防御
ビジネス メールの侵害は、企業にとって絶え間ない脅威です。この調査が示すように、BEC 攻撃は非常にステルスであり、攻撃者は評判の高い IP 範囲を使用して正当なトラフィックに紛れ込み、特定の時間と接続で個別のアクティビティを実行することで、目に見えないところに隠れています。
マイクロソフトは、高度な侵害前および侵害後の保護機能を含む幅広いクロスドメイン ソリューションを通じて、組織がこの種の攻撃に対してマルチプラットフォームおよびマルチクラウド環境を包括的に防御できるようにします。 Office 365 では、外部メール転送が既定で無効になっているため、この手法を使用する BEC キャンペーンの脅威が大幅に軽減され、組織は外部転送を柔軟に制御できます。組織は、 POP3/IMAP などの従来のプロトコルの使用を減らすか無効にすることで攻撃対象領域をさらに減らし、すべてのユーザーに対して多要素認証を有効にすることができます。
BEC 攻撃の範囲と巧妙さが増し続けているため、組織は Microsoft Defender for Office 365 によって提供されるような高度で包括的な保護を必要としています。送信者インテリジェンス、コンテンツ フィルタリング、および配信後の保護。 AI と機械学習を使用して、アカウントの異常な動作や、ユーザーやドメインのなりすましを利用する電子メールを検出します。 Microsoft Defender for Office 365 は、既定で外部転送を無効にするだけでなく、疑わしい転送アクティビティが検出された場合にアラートを生成し、セキュリティ チームが攻撃を調査して修復できるようにします。攻撃シミュレーション トレーニングなどの機能は、組織がフィッシング、BEC、およびその他の脅威に対するユーザーの意識を向上させるのにさらに役立ちます。
図 8. Microsoft Defender for Office 365 の疑わしいメール転送アクティビティ アラートの例
Microsoft Defender for Office 365 からの信号は、Microsoft 365 Defender に通知されます。これにより、クロスドメインの脅威インテリジェンスが関連付けられ、調整された防御が提供されます。脅威の状況を常に監視している研究者からの専門的な洞察は、攻撃者の行動と動機を理解することで、このインテリジェンスを強化するのに役立ちます。当社のセキュリティ製品の AI および機械学習テクノロジは、このインテリジェンスを使用して顧客を保護します。これらのシグナルとインサイトにより、クラウド サービスを悪用する脅威を特定して対処することもできます。複数のクラウド セキュリティ チームによるこのよく組織化されたクロスクラウド BEC 操作の結果としての削除は、攻撃との戦いとすべてのセキュリティの向上における業界の協力の重要性を強調しています。
Microsoft が、最もコストのかかるセキュリティ脅威の 1 つであるビジネス メールの侵害にどのように対処しているかをご覧ください。
Microsoft Defender 365 を使用して、自動化されたクロスドメイン セキュリティと組み込みの AI によって攻撃を阻止します。
Stefan Sellmer 、Microsoft 365 Defender 研究チーム
Nick Carr 、Microsoft Threat Intelligence Center (MSTIC)
高度なハンティング クエリ
次のクエリを実行して、転送ルールを見つけます。
let startTime = ago(7d);
let endTime = now();
CloudAppEvents
| where Timestamp between(startTime .. endTime)
| where ActionType == "New-InboxRule"
| where (RawEventData contains "ex@exdigy.net" or RawEventData contains "in@jetclubs.biz")
or
(RawEventData has_any("invoice","payment","statement") and RawEventData has "BodyContainsWords")
| project Timestamp, AccountDisplayName, AccountObjectId, IPAddress
Comments