先日ThreatLabzでは、こちらのブログ記事でMicrosoftのメールサービスの組織ユーザーを狙った大規模なフィッシングキャンペーンについて詳しく紹介しました。今回の記事はこの件に関する続報です。

ThreatLabzの監視のなかで、2022年7月中旬以降、Gmailの組織ユーザーに対するAiTMフィッシング攻撃が確認され始めました。このキャンペーンの攻撃チェーンを詳しく分析したところ、先日お伝えしたMicrosoftのメールサービスのユーザーを狙ったAiTMフィッシングキャンペーンとの間に複数の類似点があることが判明しました。

Gmailのビジネス版であるG Suiteは、多くの組織で使用されています。今回のキャンペーンは、G Suiteを使用するさまざまな組織の最高責任者や上位役職者に的を絞って展開されています。

AiTMフィッシングの技術的な詳細については、すでに先日の記事で説明しているため今回は割愛しますが、覚えておきたいのは、AiTMフィッシングキットを使用することで、さまざまなWebサイトをフィッシングに利用し、多要素認証を回避できるという点です。キットの活用により、フィッシングに利用する正当なWebサイトのURLを必要に応じてすばやく変更しながら、同一のAiTM攻撃の手法を使い続けることができます。

ThreatLabzでは、MicrosoftのメールサービスとGmailを狙った2つのフィッシングキャンペーンが同一の脅威アクターによるものであると考えています。この記事では、両者の共通性を示す手がかりを紹介しながら、この結論の根拠を説明していきます。

2つのキャンペーンでは、類似した戦術、技術、手順(TTP)が使用されています。また、インフラストラクチャーの重複も確認され、脅威アクターが同じインフラストラクチャーを使用して攻撃のターゲットをMicrosoftのメールユーザーからGmailユーザーに切り替えたケースも何件か特定しました。

なお、興味深いことに、Gmailユーザーをターゲットとした攻撃の件数は、Microsoftのメールユーザーをターゲットとした攻撃よりはるかに少ないものでした。

要点

Microsoftのメールサービスの組織ユーザーに対してAiTMフィッシングキットを使用した攻撃キャンペーンを展開しているのと同一の脅威アクターが、2022年7月以降G Suiteの組織ユーザーを狙い始めている。
この攻撃は、Gmailの多要素認証(MFA)による保護を回避できる。
この攻撃のフィッシングメールが送付されたのは、標的となった米国の組織の最高責任者や上位役職者だった。CEOやCFO付のエグゼクティブアシスタントにフィッシングメールが送信されたケースもある。
侵害した最高責任者のメールアカウントを利用して攻撃を拡大している。
侵害した複数のドメインを中間URLリダイレクターとして使用し、最終的にユーザーをフィッシングページへと誘導している。
Microsoftのメールユーザーを狙ったキャンペーンと同様、クライアントのフィンガープリントを取得するための類似スクリプトを使用して検出を回避している。
Microsoftのメールユーザーを狙ったキャンペーンのリダイレクタースクリプトを更新して、G Suiteの組織ユーザーへの攻撃に使用している。

攻撃チェーン

下の図1は、今回の大まかな攻撃チェーンを示したものです。攻撃の最初のプロセスとして、悪意のあるリンクを含むメールがユーザーのもとに届きます。メールに含まれるリンクには、幾重ものリダイレクトの処理が施されており、オープンリダイレクトページを悪用して最終的に攻撃者が制御するGmailのフィッシングドメインにユーザーを誘導します。ただし、実際のフィッシングページがユーザーに表示される前に、サーバー側ではクライアントのフィンガープリントの確認が行われ、サイトにアクセスしているのが自動分析システムではなく実際のユーザーであることを確認します。

攻撃チェーンの各段階については、後ほどそれぞれのセクションで詳しく説明していきます。

図1：Gmailユーザーを狙ったフィッシングの攻撃チェーンの概要

配布方法

このキャンペーンの攻撃ベクトルは、悪意のあるリンクが埋め込まれたメールで、標的となる組織の最高責任者や上位役職者に的を絞って送信されています。

フィッシングメールはGoogleから届いたパスワードの有効期限のリマインダーを装い、再設定用リンクのクリックを促します。

そのメールの例が図2です。

図2：G Suiteユーザーを狙ったフィッシングメール

URLリダイレクト

以下で説明するとおり、このフィッシングメールのリダイレクトには複数の段階があります。

第1段階

第1段階のリダイレクトリンクには、2つのパターンが確認されています。

パターン1 (オープンリダイレクトの悪用)

このパターンでは、Microsoftのメールユーザーを狙ったAiTMフィッシングキャンペーンに関する調査で説明したのと同じような形で、Google広告やSnapchatのオープンリダイレクトページが悪用されています。

図3に示す2つの例は、いずれもGmailユーザーを狙った同一のフィッシングURLです。1例目ではSnapchatのオープンリダイレクトが、2例目ではGoogle広告のオープンリダイレクトが使用されています。

図3：オープンリダイレクトページを使用したリダイレクト

パターン2

こちらのパターンは、侵害したサイトを利用したものです。このサイトのURLには、エンコードされた第2段階のリダイレクターとターゲットのメールアドレスが含まれています。このパターンのURL形式を示したのが図4です。

図4：第1段階のリダイレクトURLの2つ目のパターン(第2段階のリダイレクターを含んでいる)

第2段階 (中間リダイレクター)

中間リダイレクターはJavaScriptで構成され、侵害されたドメインでホストされています。このリダイレクトスクリプトの例を示したのが図5です。スクリプトの変数「redirectURL」で最終的なフィッシングページを指定しています。

図5：第2段階の中間リダイレクター

ThreatLabzでは、脅威アクターがこの変数「redirectURL」を定期的に更新し、リダイレクト先を新しいフィッシングページに変更していることを確認しています。このような手法を取ることで、セキュリティベンダーによって検出対象のURLに追加された場合でも、すばやくURLを更新してキャンペーン継続できるのです。ThreatLabzでは、こうしたリダイレクタースクリプトを定期的に確認し、新たなフィッシングページをプロアクティブに特定して検出対象のURLに追加しています。

また、更新されたURLリダイレクトスクリプトをホストする侵害されたドメインも特定しました。このスクリプトはG Suiteユーザーを狙った新たなフィッシングURLを転送先としています。

図6は、更新前後のスクリプトを比較したものです。「loftds[.]com」は攻撃者が制御するドメインで、リダイレクタースクリプトをホストしています。図の左側のとおり、2022年7月11日のリダイレクタースクリプトの転送先URLは、Microsoftのメールユーザーを狙ったAiTMフィッシング攻撃で使用されたものでした。図の右側は2022年7月16日のもので、同じスクリプトが更新され、転送先のURLはG Suiteユーザーを狙ったAiTMフィッシング攻撃のものに変わっています。

図6：Microsoftのメールユーザーを狙った攻撃とG Suite/Gmailユーザーを狙った攻撃の両者で使用されている同一のリダイレクターページ

この発見は、2つのキャンペーンを同一の脅威アクターと結び付けるうえで強力な手がかりになりました。

フィンガープリントの取得による検出回避

フィッシングページの本体では、自動URL分析システムの存在を検出するために、JavaScriptを使用してクライアント側のフィンガープリントの取得が行われていました。アクセス元のデバイスから収集されたフィンガープリント情報は、WebSocketを使用してサーバーに送信されます。このフィンガープリンティング手法に関する詳しい技術的な情報は以前の記事でご確認いただけます。

全段階のリダイレクトを経て、クライアントのフィンガープリントに問題がないと判断されると、図7のようなGmailのフィッシングページ本体がユーザーに表示されます。

図7：Gmailのフィッシングページ本体

以下の図8のとおり、このAiTMフィッシングキットは、Gmail/G Suiteで使用される多要素認証のプロセスを中継およびインターセプトすることができます。

図8：AiTMフィッシングキットによってインターセプトされたGmailの多要素認証(MFA)プロセス

Zscalerによる検知状況

Zscalerの多層クラウドセキュリティプラットフォームは、さまざまなレベルの指標を検出しています。詳細は以下のページからご確認ください。

HTML.Phish.Gmail

まとめ

この記事では、脅威アクターがどのようにしてプロキシベースのAiTMフィッシングキットを活用し、複数のメールプロバイダーの組織ユーザーに攻撃を仕掛けているかを説明してきました。ここで理解しておきたいのは、このような攻撃のターゲットとなるのは、MicrosoftのメールサービスやGmailの組織ユーザーだけではないということです。この手法は、さまざまなサービスの多要素認証保護の回避に利用できるのです。

ビジネスメール詐欺(BEC)は、今後も大きな脅威であり、組織には防御策が求められます。今回の記事で説明したとおり、脅威アクターは絶えず新たなドメインを登録し、組織でよく利用されるさまざまなオンラインサービスにターゲットを拡大しています。

多要素認証(MFA)などのセキュリティ機能によってセキュリティのレイヤーを拡充しても、それがフィッシング攻撃に対する特効薬になると考えてはいけません。脅威アクターは、AiTM攻撃などを利用した高度なフィッシングキットや、その他の巧妙な検出回避策を用いることで、従来のセキュリティソリューション、そして高度なセキュリティソリューションまでをもかいくぐることがあるのです。

さらなる侵害予防策として、ユーザーは、メールの発信元が信頼できないまたは不明な場合に添付ファイルやリンクをクリック開かないようにする必要があります。また、ベストプラクティスとして、通常、資格情報の入力前にブラウザーのアドレスバーでURLを確認することが必要です。

ZscalerのThreatLabzでは、この進行中のキャンペーンをはじめとした種々の攻撃を継続的に監視し、お客様の安全を守ります。

IoC (Indicator of Compromise、侵害指標)

フィッシングドメイン

*.angalosos[.]xyz
*.mdks[.]xyz
*.7brits[.]xyz
*.fekir5[.]xyz
*.bantersplid[.]xyz
*.absmg[.]xyz
*.wultimacho[.]xyz
*.gsuiteworkstation[.]com
*.thyxyzjgdrwafzy[.]xyz
*.7dmjmg20p8[.]xyz
*.appfolders[.]xyz
*.4765445b-32c6-4-83e6-1d93765276[.]co
*.aucapitalsci[.]com
*.eaganins.click
*.disturbedmidiagroup.click

中間URLリダイレクター

注意：以下は侵害されたWebサイトです

*.southernlivingsavannah[.]com
*.sunnyislesdental[.]com
*.horticulturatanaka[.]com.br
ripple-hirodai[.]com
pathopowerreport[.]de
pagliaispizzakv[.]com
*.loftds[.]com
*.sabtsaeen[.]ir
*.jarrydrenton[.]com
*.alphamediaam[.]ir
*.hcapinfo[.]com
*.gamea[.]ir