2022 年 3 月にMandiant Managed Defenseの顧客を標的としたフィッシング活動を調査しているときに、マネージド ディフェンスのアナリストは、「Caffeine」と呼ばれる共有の Phishing-as-a-Service (PhaaS) プラットフォームを使用している悪意のある攻撃者を発見しました。このプラットフォームは、直感的なインターフェイスを備え、比較的低コストで提供されますが、犯罪者のクライアントに多数の機能とツールを提供して、フィッシング キャンペーンのコア要素を調整および自動化します。これらの機能には、カスタマイズされたフィッシング キットの作成、中間リダイレクト ページと最終段階のルアー ページの管理、ホストされた悪意のあるペイロードの URL の動的な生成、およびキャンペーン メール アクティビティの追跡を行うためのセルフサービス メカニズムが含まれますが、これらに限定されません。
Mandiant が遭遇するほとんどの PhaaS プラットフォームとは異なり、Caffeine は、完全にオープンな登録プロセスを特徴としており、狭い通信チャネル (アンダーグラウンド フォーラムや暗号化されたメッセージング サービスなど) を介して直接作業する代わりに、電子メールを持っているほぼすべての人がサービスに登録できるという点でややユニークです。 )、または既存のユーザーによる承認または紹介を必要とします。さらに、さまざまな顧客へのサポートを最大限に高めるために、Caffeine は中国とロシアを標的とするフィッシング メール テンプレートも提供しています。プラットフォームの一般的には珍しい注目すべき機能です (これについては後で詳しく説明します)。
フィッシング プラットフォームの使用は攻撃を促進するための新しいメカニズムではありませんが、Caffeine のような機能豊富なオプションがサイバー犯罪者にとって簡単に利用できることは注目に値します。このブログ投稿では、その使用の証拠を最初に特定した方法を探り、PhaaS プラットフォーム市場への参入障壁が比較的低いことを示し、プラットフォームのコア機能について詳しく説明し、Caffeine のフィッシャーマンが利用できるより技術的な構成を掘り下げます。検出を回避できるようにします。また、Caffeine に特化したアクターと、より一般的なフィッシング アクティビティの両方によって利用されるフィッシング キャンペーンの要素を識別するように設計された、検出のコア セットも提供します。
Mandiant の顧客でのフィッシング活動
電子メール セキュリティ プラットフォームによる自動検査および検出方法の進歩は、フィッシング戦術の進化に拍車をかけています。多くの例の 1 つとして、漏えいした電子メール認証情報を外交機関を標的とする APT29 の巧妙な使用など、高度に標的を絞った活動での使用に加えて、盗まれた認証情報を求めるより一般化された「従来の」フィッシングは、依然としてサイバー犯罪者にとって一般的な攻撃手段です (図 1 を参照してください)。 M-Trends 2022によると、資格情報の盗難は、Mandiant が 2021 年に対応した侵入の約 9% の原因でした。
広く配布された認証情報フィッシング キャンペーンも、Mandiant が使用中の Caffeine プラットフォームを最初に観察したポイントでした。 2022 年 3 月、マネージド ディフェンスは、疑わしい URL を含むヨーロッパの建築コンサルティング会社に送信された電子メールを確認しました。メールの内容は完全には復元されませんでしたが、フィッシング メールに含まれていたドメイン データ eduardorodiguez9584[.]ongraphy[.]com (活動の前後で IP アドレス 134.209.156[.]27 に解決されました) 、回収され、その後分析されました。
最終的に、ドメイン eduardorodiguez9584[.]ongraphy[.]com (図 2) は、oculisticaspizzirri[.]it/fill/ (分析時のドメイン解決は 134.209.156[.]) にある第 2 段階の URL へのリダイレクト ページとして機能しました。 27)。この URL は、最終的に、イタリアの眼科医の医療行為に関する正当な Web サイト (親ドメイン oculisticaspizzirri[.]it) の侵害された部分につながることが判明しました。 Mandiant は、サイトの侵害の初期侵入ベクトル (IIV) に関する決定的な洞察を持っていませんが、サイト自体が WordPress とそのカスタム プラグインのいくつかを利用していることが判明しました。 WordPress の脆弱性は、ウェブサイト侵害の一般的な IIV として過去に Mandiant によって観察されていましたが、この記事の執筆時点では、Mandiant はドメインが侵害されていないように見えると指摘しています。
さらに、サイトの侵害された部分 (侵害された期間中) でホストされていた第 2 段階のルアー ページは、最終的に攻撃者によって誤って構成されました (図 3 を参照)。
正しく構成されていれば、図 3 に示すページには、Caffeine ユーザー/攻撃者によって構成されたキャンペーンの最終的なルアー ページが表示される可能性があります (通常は、偽の Microsoft 365 ログイン ページです。図 4 を参照してください)。
ただし、このページのエラー メッセージは、関連付けられているフィッシング ドメインが Caffeine プラットフォーム インフラストラクチャ内で正しく構成されていないことを示しており、攻撃者にこの問題のサポートを受けるためのサポート リンクを提供しています。これは、Caffeine エンジニアのユーザー エクスペリエンスへの素晴らしい献身を示していますが、サポート チケットを作成するために提供されたリンクは、Caffeine プラットフォーム内のサポート ページへの直接リンクでもあります。サポート URL にアクセスするユーザーが、リンクにアクセスする時点でプラットフォームの構成済みユーザーとしてログインしていない場合、単純に Caffeine ログイン ページにリダイレクトされます (図 5 を参照)。
Managed Defense は、Caffeine プラットフォームの調査中に、サポート チケットの URL 部分が暗号化されたメッセージング サービスのサポート連絡先情報に置き換えられた新しいバージョンのエラー ページを確認しました。これは、プラットフォーム エンジニア側の優れた運用上のセキュリティの改善です。
カフェイン プラットフォーム コンポーネントの使用
Caffeine Phishing Platform の適切に構成され、キャンペーンに対応したエンドツーエンドの実装にはいくつかの要素があり、そのうちの 3 つが次のとおりです。
- コア カフェイン アカウント
- ライセンス
- キャンペーンのインフラストラクチャと構成
これらの各側面については、次のセクションで詳しく説明します。
コア カフェイン アカウント
他の最新のサービスとしてのソフトウェア (SaaS) プラットフォームと同様に、新しいユーザーのための Caffeine のインフラストラクチャの中核は、ユーザー アカウントの作成から始まります。
すべての PhaaS プラットフォームがこのように機能するわけではありませんが、Caffeine の場合、Web サイト自体が公開されています (知っておく必要があるのは URL だけです)。サイトにアクセスするための重要な情報の開示や外部検証メカニズム (他の既存の Caffeine ユーザーによる承認など) なしでアカウントを登録することは可能です。
登録が完了すると、新しい Caffeine ユーザーは、サービスのメイン インデックス ページに誘導され、フィッシング旅行を開始します (図 6 を参照)。 Managed Defense は、Caffeine プラットフォームの調査の過程で、Caffeine の管理者が Caffeine ニュース フィードを介して、機能の更新や受け入れられた暗号通貨の拡張など、いくつかの重要なプラットフォームの改善を発表したことを観察しました。
カフェイン フィッシング ライセンス
Caffeine は、既存のユーザーによる口コミに加えて、サイバー犯罪専用のアンダーグラウンド フォーラムでも宣伝されています。図 7 は、nulled[.]to に関する投稿を示しています。これは、Caffeine の電子メール管理コンポーネントや、同じマルウェア作成者に関連付けられていると思われるその他の一見悪意のあるユーティリティを宣伝しています。
もう 1 つの例は、サイト crax[.]tube からの投稿で、プラットフォームの一部の機能の古いバージョンをデモしています (図 8 参照)。
最近のほとんどの SaaS プラットフォームでよくあることですが、Caffeine は永久使用ライセンスをサポートしておらず、完全にサブスクリプション ベースです。さらに、最新のサブスクリプション ベースのソフトウェア設計の教義が指示するように、Caffeine は 3 つの異なるサービス レベルを提供します。
Caffeine サブスクリプション モデルは、他の PhaaS プラットフォームよりもわずかに高い基本価格に傾いていることに注意してください。その基本サブスクリプションは、月額約 250 ドルです。しかし、2019 年のセキュリティ会社 Cyren による多数の PhaaS プラットフォームを調査したブログ投稿では、平均的な PhaaS プラットフォームのコストは通常 50 ドルから 80 ドルの範囲であることが指摘されています。 Caffeine は、無制限のカスタマー サービス サポート オプションと、それが提供する広範な検出防止および分析防止機能により、より高価なサブスクリプション モデルになる可能性があります (詳細については、次のセクションを参照してください)。
キャンペーンのインフラストラクチャと構成
Caffeine プラットフォームの機能セットの多くにより、ユーザーはクレデンシャル フィッシング キャンペーンで使用するための詳細な構成設定を選択できます。前述のように、これには動的 URL スキーマをカスタマイズするセルフサービス メカニズムが含まれますが、これに限定されません。これにより、追加のキャンペーンごまかし (図 9 を参照)、キャンペーンの第 1 段階のリダイレクト用に潜在的な被害者情報が事前に入力されたページを動的に生成するのに役立ちます。ページ、および最終ルアー ページ。また、CIDR 範囲内の IP アドレスをブラックリストに登録し、発信元に基づいて接続をブロックするオプションもいくつか含まれています (図 10 を参照)。
A School of Caffeinated Phish: 動作中のカフェイン プラットフォームのケース スタディ
攻撃者は、主要なキャンペーン ツールの必要なコンポーネントを構成したら (図 10 を参照)、そのツール (従来は「フィッシング キット」と呼ばれていました) を、ホストされているキャンペーン インフラストラクチャに展開する必要があります。そのステップが完了したら、あとは、デプロイされたキットを特別なライセンス トークンを介してメインの Caffeine アカウントに接続するだけです。その時点で、攻撃者はフィッシングの準備ができています!
カフェイン フィッシング キットの展開: 餌の準備
ほとんどの従来のフィッシング キャンペーンでは、フィッシング詐欺師は通常、悪意のあるコンテンツをホストするために 2 つの主要なメカニズムを採用しています。彼らは通常、フィッシング航海を促進することのみを目的として設定された専用の Web インフラストラクチャを活用するか、攻撃者によって侵害された正当なサードパーティのサイトとインフラストラクチャを使用してコンテンツをホストするか、またはその両方を組み合わせます。
Mandiant が顧客ベース全体で見た侵害された Web インフラストラクチャの蔓延を考慮して、著者は、このブログ投稿内でシナリオベースのさらなる分析のために、この特定の攻撃経路に焦点を当てます。
侵害された Web インフラストラクチャへのキットの展開に関連する一般的な戦術、手法、および手順の完全な分析は、このブログ投稿の範囲を超えていますが、これらのキットを展開するための一般的な手法は次のとおりです。
- 侵害された Web 管理者のユーザー アカウント。
- Web インフラストラクチャ プラットフォームおよびテクノロジの脆弱性の悪用。
- 脆弱な方法で構成された Web アプリケーションの悪用。
ただし、どの手法が使用されても、攻撃者の最終的な目標は、ホストされた Web インフラストラクチャでファイル書き込み機能を実現することです。これが達成されたら、キットからファイルをアップロードするだけで、関連するすべての依存関係が解決されます。
その時点で、Caffeine の場合、攻撃者は自分のキットがユーザー固有のライセンス トークンを利用するように構成されていることも確認する必要があります。これにより、デプロイされたキットがメインの Caffeine ユーザー アカウントにリンクされ、Caffeine プラットフォーム (およびそれぞれの管理ダッシュボード) を十分に活用して、キャンペーン オペレーションを効果的に管理できるようになります。
正しく完了すると、Caffeine フィッシング キットの最終的なルアーは、図 4 のような Microsoft 365 ログイン ページとして表示されます。このようなページは、キャンペーン操作中に資格情報の盗難を成功させる主なメカニズムです。
この手順が正しく完了していない場合、ルアー ページにアクセスするすべてのユーザーは代わりに、図 3 に示すようなエラー メッセージを受け取ります。
Mandiant は、Microsoft 365 資格情報収集ルアーとして表示されるようにフォーマットされたもの以外に、追加の偽のログイン ページを特定しませんでした。これは、このプラットフォームが宣伝されている方法と一致しています。ただし、Mandiant は、Caffeine の顧客ニーズがテクノロジーのトレンドとともに変化するにつれて、追加のログイン ページ形式が導入されることをある程度の自信を持って評価しています。
フィッシング詐欺集団の派遣
キャンペーン インフラストラクチャの構成が完了すると、攻撃者は、Caffeine が提供するメール管理ユーティリティ (Python または PHP の両方で提供される) を使用して、フィッシング メールを作成し、潜在的な被害者に送信することができます。
デフォルトでは、Caffeine は、前述の送信ユーティリティと組み合わせて使用される送信メールに埋め込む構成可能な HTML ファイルを提供します。攻撃者がフィッシング メール テンプレートに使用できるいくつかのオプションが用意されています。これには、主要なロシアおよび中国のサービスのユーザーを標的とする Web メール フィッシング ルアーが含まれます (図 16 から図 19 を参照)。
樽の中のフィッシング: カフェイン活動の検出
Caffeine プラットフォーム内のすべてのユーティリティとコンポーネントの広範かつ包括的な分析は、このブログ投稿の範囲をはるかに超えていますが、その操作のいくつかの主要コンポーネントを使用して、1 つと組み合わせて使用すると、効果の高い脅威検出の確実なセットを生成できます。別。
エンドポイントでのカフェインの検出
このルール セットは、フィッシング インフラストラクチャとアクティビティを特定するハンティング活動の開始点として機能することを目的としています。ただし、脅威が進化するにつれて、時間の経過とともに調整が必要になる場合があります。これらの検出を効果的に利用するには、デプロイされた Web サイト ファイルのコピーに対して関連する Yara ルールを実行します。
ルール |
ファイル名 |
MD5 |
検出メモ |
M_Hunting_PHP_Caffeine_Toolmarks_1 |
index.php |
ce9a17f9aec9bd2d9eca70f82e5e048b |
Caffeine プラットフォームには、さまざまなコンポーネントにわたって「index.php」という名前のページが多数ありますが、この特定の「index.php」は、展開されたキットにアクセスするときにデフォルトで提供される中心的なページです。一致検出内の文字列は、Caffeine 難読化ツールの出力からのツールマークです。 |
M_Hunting_PHP_Caffeine_Obfuscation_1 |
index.php |
ce9a17f9aec9bd2d9eca70f82e5e048b |
この検出は、「Caffeine スタイル」の難読化メカニズムを備えているが、必ずしも Caffeine 固有ではない可能性がある PHP ファイルを探して、以前のルールよりも広いフィッシング ネットをキャストします。 Mandiant は、Caffeine で使用されている難読化メカニズムが他の PhaaS ベンダーでも使用されている可能性があることを示唆するいくつかの証拠を発見しました。 |
M_Hunting_JSON_Caffeine_Config_1 |
config.json |
684b524cef81a9ef802ed3422700ab69 |
これは、展開された Caffeine フィッシング キットで使用されるメインの構成ファイルです。一致検出内の文字列は、Caffeine がデフォルトで活用する構成アーティファクトです。 |
M_Hunting_JS_Caffeine_Redirect_1 |
file.htm |
60cae932b80378110d74fe447fa518d6 |
これは典型的な Caffeine リダイレクト ページです。一致検出内の文字列は、Caffeine がデフォルトで活用する構成アーティファクトです。 |
M_Hunting_ICO_Caffeine_Favicon_1 |
favicon.ico |
12e3dac858061d088023b2bd48e2fa96 |
このルールは、既定で Caffeine のキットに含まれている正規の Microsoft ロゴ ファビコンのバージョンを検出します。一部の正当なバージョンのファビコンも検出される可能性がありますが、不正な PHP、HTA、または Javascript ファイルと一緒に見つかった Microsoft ファビコンは、悪意のあるアクティビティの存在について綿密に調査する必要があります。 |
ワイヤー上のカフェインの検出
次のドメインは、展開されたフィッシング キット用の Caffeine のアーキテクチャのコア コンポーネントです。これらの検出を効果的に活用するには、Web ログ内または数分間のネットワーク トラフィック内で、これらのドメインのクラスターへの異常なネットワーク トラフィックを探します。
ドメイン/URL |
IP アドレス解決 |
コンテキストノート |
カフェインファイル[.]クリック |
104.21.6[.]210 |
Caffeine プラットフォーム ファイルのアクティブなホスティング場所。現在 Cloudflare の背後にあります。 |
カフェイン[.]スペース |
185.163.46[.]131 |
Caffeine プラットフォーム ファイルの非アクティブなホスティング場所。 |
カフェイン[.]店 |
104.26.7[.]11 |
Caffeine ストアのメイン ドメイン。現在 Cloudflare の背後にあります。 |
ip-api[.]io |
192.99.71[.]107 |
これは、Caffeine が IP アドレスのジオロケーションに使用する一見正当なサービスです。それ自体は本質的に悪意のあるものではありませんが、このドメインのアクティビティが他の Caffeine インジケーターと一緒に表示されると、文脈上非常に価値があります。 |
電報[.]組織 |
149.154.167[.]99 |
Caffeine が頻繁に使用する正規の暗号化メッセージング サービス。 |
結論
この投稿に記載されている検出は、悪意のあるアクティビティの存在を検出するのに確かに役立ちますが、PhaaS 攻撃に対する防御策はいたちごっこになる可能性があることを覚えておくことも重要です。攻撃者のインフラストラクチャがダウンするとすぐに、新しいインフラストラクチャがスピンアップされます。そのために、この投稿で提供されている検出を活用することに加えて、組織がフィッシング攻撃や侵害されたドメインの影響を戦略レベルで軽減できる方法がいくつかあります。これらには以下が含まれます:
- 公開されている Web インフラストラクチャとファイルを、既知の適切なバージョンのコンテンツに対して定期的に評価します。
- 初期 URL 構造、フォーム送信、およびリダイレクトを含めるために、Web ログ分析に行動分析を利用します。
- パスワードと資格情報のリセットに関するセキュリティ ポリシーを時折再評価します。
- 少なくとも、外部ソースからエンタープライズ環境にアクセスするために使用されるすべてのユーザー アカウントに 2 要素認証を実装します。
これらの戦略的要素は自明のように見えるかもしれませんが、その重要性は決して誇張されているわけではありません。従来のフィッシング手法は、引き続きサイバー攻撃の信頼できる初期侵入ベクトル (IIV) であり、Caffeine PhaaS プラットフォームで実証されているように、本格的なエンタープライズ レベルのフィッシング キャンペーンを実行するためのツールは、安価に入手でき、使いやすく、すぐに使用できます。敵に利用可能。
謝辞
著者は、脅威に関する専門知識と調査のガイダンスを提供してくれた Jeremy Kennelly 氏、検出レビューで支援してくれた Evan Reese 氏、継続的な警戒をしてくれた The Managed Defense Security Operations Center に感謝します。
包括的な検出リスト
これらの YARA ルールは、適切なパフォーマンスを確保し、誤検知のリスクを制限するために、組織独自の内部テスト プロセスを通じて最初に検証されることなく、リアルタイムの監視やブロック ルールの通知に使用されることを意図したものではありません。
子供のルール
|
|
|
|
|
ドメイン/URL
ドメイン/URL |
IP アドレス解決 |
コンテキストノート |
eduardorodiguez9584[.]ongraphy[.]com |
134.209.156[.]27 |
フィッシング キャンペーンのリダイレクト サイト。 |
oculisticaspizzirri[.]それ/塗りつぶし/ |
136.243.82[.]137 |
第 2 段階の資格情報収集 URL の構成が正しくありません。 |
カフェインファイル[.]クリック |
104.21.6[.]210 |
Caffeine プラットフォーム ファイルのアクティブなホスティング場所。現在 Cloudflare の背後にあります。 |
カフェイン[.]スペース |
185.163.46[.]131 |
Caffeine プラットフォーム ファイルの非アクティブなホスティング場所。 |
カフェイン[.]ストア |
104.26.7[.]11 |
メインの Caffeine ストア プラットフォームの URL。現在 Cloudflare の背後にあります。 |
ip-api[.]io |
192.99.71[.]107 |
これは、Caffeine が IP アドレスのジオロケーションに使用する一見正当なサービスです。それ自体は本質的に悪意のあるものではありませんが、このドメインのアクティビティが他の Caffeine インジケーターと一緒に表示されると、文脈上非常に価値があります。 |
電報[.]組織 |
149.154.167[.]99 |
Caffeine が頻繁に使用する正規の暗号化メッセージング サービス。 |
参考: https ://www.mandiant.com/resources/blog/caffeine-phishing-service-platform
Comments