Phishing

攻撃者は現在、侵害された Microsoft 365 アカウント経由で送信される暗号化された RPMSG 添付ファイルを使用して、電子メール セキュリティ ゲートウェイによる検出を回避することを目的とした標的型フィッシング攻撃で Microsoft 資格情報を盗んでいます。

RPMSG ファイル (制限付きアクセス許可メッセージ ファイルとも呼ばれる) は、Microsoft の Rights Management サービス (RMS) を使用して作成された暗号化された電子メール メッセージの添付ファイルであり、許可された受信者にアクセスを制限することで、機密情報に対する追加の保護層を提供します。

これらを読みたい受信者は、Microsoft アカウントを使用して認証するか、コンテンツを復号化するためのワンタイム パスコードを取得する必要があります。

Trustwave が最近発見したように、RPMSG の認証要件は現在、偽のログイン フォームを使用してターゲットをだまして Microsoft 資格情報を引き渡すために悪用されています。

「それは侵害された Microsoft 365 アカウント、この場合は決済処理会社である Talus Pay から送信されたメールから始まります。」とTrustwave は述べています

「受信者は受信会社の請求部門のユーザーでした。メッセージには Microsoft で暗号化されたメッセージが示されています。」

攻撃者の電子メールは、ターゲットに「メッセージを読む」ボタンをクリックして保護されたメッセージを復号して開くよう求め、Microsoft アカウントへのサインインを要求する Office 365 Web ページにリダイレクトします。

この正規の Microsoft サービスを使用した認証後、受信者は最終的に、[ここをクリックして続行] ボタンをクリックすると、Adobe の InDesign サービスでホストされている偽の SharePoint ドキュメントに送信される攻撃者のフィッシングメールを確認できるようになります。

保護されたフィッシングメール
保護されたフィッシングメール (Trustwave)

そこから、[ここをクリックしてドキュメントを表示] をクリックすると、最終目的地につながります。空のページと、タイトル バーに [読み込み中…待機] メッセージが表示されます。これは、悪意のあるスクリプトがさまざまなシステムを収集できるようにするおとりとして機能します。情報。

収集されたデータには、訪問者 ID、接続トークンとハッシュ、ビデオ カード レンダラ情報、システム言語、デバイス メモリ、ハードウェアの同時実行性、インストールされているブラウザ プラグイン、ブラウザ ウィンドウの詳細、OS アーキテクチャが含まれます。

スクリプトによるターゲットのデータの収集が完了すると、入力されたユーザー名とパスワードを攻撃者が制御するサーバーに送信する複製された Microsoft 365 ログイン フォームがページに表示されます。

Trustwave の研究者が観察したように、このようなフィッシング攻撃の検出とそれに対抗することは、量が少なく標的を絞った性質があるため、非常に困難であることがわかります。

さらに、攻撃者が Microsoft や Adobe などの信頼できるクラウド サービスを使用してフィッシングメールを送信したり、コンテンツをホストしたりすると、さらに複雑さと信頼性が高まります。

また、暗号化された RPMSG 添付ファイルは、最初のフィッシングメール内の唯一のハイパーリンクが潜在的な被害者を正規の Microsoft サービスに誘導するため、メール スキャン ゲートウェイからのフィッシング メッセージを隠蔽します。

トラストウェーブは、この種のフィッシング攻撃によってもたらされるリスクを軽減したい企業に対し、「脅威の性質についてユーザーを教育し、外部ソースからの予期しないメッセージを復号したりロック解除しようとしないようにしてください」とアドバイスしている。

「Microsoft 365 アカウントの侵害を防ぐには、多要素認証 (MFA) を有効にしてください。」