Zscalerのブログ

Zscalerの最新ブログ情報を受信

購読する
セキュリティリサーチ

Gmailの組織ユーザーを狙ったAiTMフィッシング攻撃

SUDEEP SINGH, JAGADEESWAR RAMANUKOLANU
August 09, 2022 - 7 分で読了

概要
 

先日ThreatLabzでは、こちらのブログ記事でMicrosoftのメール サービスの組織ユーザーを狙った大規模なフィッシング キャンペーンについて詳しく紹介しました。今回の記事はこの件に関する続報です。

ThreatLabzの監視のなかで、2022年7月中旬以降、Gmailの組織ユーザーに対するAiTMフィッシング攻撃が確認され始めました。このキャンペーンの攻撃チェーンを詳しく分析したところ、先日お伝えしたMicrosoftのメール サービスのユーザーを狙ったAiTMフィッシング キャンペーンとの間に複数の類似点があることが判明しました。

Gmailのビジネス版であるG Suiteは、多くの組織で使用されています。今回のキャンペーンは、G Suiteを使用するさまざまな組織の最高責任者や上位役職者に的を絞って展開されています。

AiTMフィッシングの技術的な詳細については、すでに先日の記事で説明しているため今回は割愛しますが、覚えておきたいのは、AiTMフィッシング キットを使用することで、さまざまなWebサイトをフィッシングに利用し、多要素認証を回避できるという点です。キットの活用により、フィッシングに利用する正当なWebサイトのURLを必要に応じてすばやく変更しながら、同一のAiTM攻撃の手法を使い続けることができます。

ThreatLabzでは、Microsoftのメール サービスとGmailを狙った2つのフィッシング キャンペーンが同一の脅威アクターによるものであると考えています。この記事では、両者の共通性を示す手がかりを紹介しながら、この結論の根拠を説明していきます。

2つのキャンペーンでは、類似した戦術、技術、手順(TTP)が使用されています。また、インフラストラクチャーの重複も確認され、脅威アクターが同じインフラストラクチャーを使用して攻撃のターゲットをMicrosoftのメール ユーザーからGmailユーザーに切り替えたケースも何件か特定しました。

なお、興味深いことに、Gmailユーザーをターゲットとした攻撃の件数は、Microsoftのメール ユーザーをターゲットとした攻撃よりはるかに少ないものでした。
 

要点

 

  • Microsoftのメール サービスの組織ユーザーに対してAiTMフィッシング キットを使用した攻撃キャンペーンを展開しているのと同一の脅威アクターが、2022年7月以降G Suiteの組織ユーザーを狙い始めている。
     
  • この攻撃は、Gmailの多要素認証(MFA)による保護を回避できる。
     
  • この攻撃のフィッシング メールが送付されたのは、標的となった米国の組織の最高責任者や上位役職者だった。CEOやCFO付のエグゼクティブ アシスタントにフィッシング メールが送信されたケースもある。
     
  • 侵害した最高責任者のメール アカウントを利用して攻撃を拡大している。
     
  • 侵害した複数のドメインを中間URLリダイレクターとして使用し、最終的にユーザーをフィッシング ページへと誘導している。
     
  • Microsoftのメール ユーザーを狙ったキャンペーンと同様、クライアントのフィンガープリントを取得するための類似スクリプトを使用して検出を回避している。
     
  • Microsoftのメール ユーザーを狙ったキャンペーンのリダイレクター スクリプトを更新して、G Suiteの組織ユーザーへの攻撃に使用している。
     

攻撃チェーン


下の図1は、今回の大まかな攻撃チェーンを示したものです。攻撃の最初のプロセスとして、悪意のあるリンクを含むメールがユーザーのもとに届きます。メールに含まれるリンクには、幾重ものリダイレクトの処理が施されており、オープン リダイレクト ページを悪用して最終的に攻撃者が制御するGmailのフィッシング ドメインにユーザーを誘導します。ただし、実際のフィッシング ページがユーザーに表示される前に、サーバー側ではクライアントのフィンガープリントの確認が行われ、サイトにアクセスしているのが自動分析システムではなく実際のユーザーであることを確認します。

攻撃チェーンの各段階については、後ほどそれぞれのセクションで詳しく説明していきます。

Image

図1:Gmailユーザーを狙ったフィッシングの攻撃チェーンの概要

 

配布方法


このキャンペーンの攻撃ベクトルは、悪意のあるリンクが埋め込まれたメールで、標的となる組織の最高責任者や上位役職者に的を絞って送信されています。

フィッシング メールはGoogleから届いたパスワードの有効期限のリマインダーを装い、再設定用リンクのクリックを促します。

そのメールの例が図2です。
 

Image

図2:G Suiteユーザーを狙ったフィッシング メール

 

URLリダイレクト

以下で説明するとおり、このフィッシング メールのリダイレクトには複数の段階があります。
 

第1段階

 

第1段階のリダイレクト リンクには、2つのパターンが確認されています。

パターン1 (オープン リダイレクトの悪用)

このパターンでは、Microsoftのメール ユーザーを狙ったAiTMフィッシング キャンペーンに関する調査で説明したのと同じような形で、Google広告やSnapchatのオープン リダイレクト ページが悪用されています。

図3に示す2つの例は、いずれもGmailユーザーを狙った同一のフィッシングURLです。1例目ではSnapchatのオープン リダイレクトが、2例目ではGoogle広告のオープン リダイレクトが使用されています。

Image

図3:オープン リダイレクト ページを使用したリダイレクト

 

パターン2

こちらのパターンは、侵害したサイトを利用したものです。このサイトのURLには、エンコードされた第2段階のリダイレクターとターゲットのメールアドレスが含まれています。このパターンのURL形式を示したのが図4です。
 

Image

図4:第1段階のリダイレクトURLの2つ目のパターン(第2段階のリダイレクターを含んでいる)


第2段階 (中間リダイレクター)


中間リダイレクターはJavaScriptで構成され、侵害されたドメインでホストされています。このリダイレクト スクリプトの例を示したのが図5です。スクリプトの変数「redirectURL」で最終的なフィッシング ページを指定しています。
 

Image

図5:第2段階の中間リダイレクター


ThreatLabzでは、脅威アクターがこの変数「redirectURL」を定期的に更新し、リダイレクト先を新しいフィッシング ページに変更していることを確認しています。このような手法を取ることで、セキュリティ ベンダーによって検出対象のURLに追加された場合でも、すばやくURLを更新してキャンペーン継続できるのです。ThreatLabzでは、こうしたリダイレクター スクリプトを定期的に確認し、新たなフィッシング ページをプロアクティブに特定して検出対象のURLに追加しています。

また、更新されたURLリダイレクト スクリプトをホストする侵害されたドメインも特定しました。このスクリプトはG Suiteユーザーを狙った新たなフィッシングURLを転送先としています。

図6は、更新前後のスクリプトを比較したものです。「loftds[.]com」は攻撃者が制御するドメインで、リダイレクター スクリプトをホストしています。図の左側のとおり、2022年7月11日のリダイレクター スクリプトの転送先URLは、Microsoftのメール ユーザーを狙ったAiTMフィッシング攻撃で使用されたものでした。図の右側は2022年7月16日のもので、同じスクリプトが更新され、転送先のURLはG Suiteユーザーを狙ったAiTMフィッシング攻撃のものに変わっています。
 

Image

 

図6:Microsoftのメール ユーザーを狙った攻撃とG Suite/Gmailユーザーを狙った攻撃の両者で使用されている同一のリダイレクター ページ


この発見は、2つのキャンペーンを同一の脅威アクターと結び付けるうえで強力な手がかりになりました。
 

フィンガープリントの取得による検出回避


フィッシング ページの本体では、自動URL分析システムの存在を検出するために、JavaScriptを使用してクライアント側のフィンガープリントの取得が行われていました。アクセス元のデバイスから収集されたフィンガープリント情報は、WebSocketを使用してサーバーに送信されます。このフィンガープリンティング手法に関する詳しい技術的な情報は以前の記事でご確認いただけます。

全段階のリダイレクトを経て、クライアントのフィンガープリントに問題がないと判断されると、図7のようなGmailのフィッシング ページ本体がユーザーに表示されます。

Image

図7:Gmailのフィッシング ページ本体


以下の図8のとおり、このAiTMフィッシング キットは、Gmail/G Suiteで使用される多要素認証のプロセスを中継およびインターセプトすることができます。
 

Image

 

図8:AiTMフィッシング キットによってインターセプトされたGmailの多要素認証(MFA)プロセス


Zscalerによる検知状況


Zscalerの多層クラウド セキュリティ プラットフォームは、さまざまなレベルの指標を検出しています。詳細は以下のページからご確認ください。

HTML.Phish.Gmail


まとめ

この記事では、脅威アクターがどのようにしてプロキシベースのAiTMフィッシング キットを活用し、複数のメール プロバイダーの組織ユーザーに攻撃を仕掛けているかを説明してきました。ここで理解しておきたいのは、このような攻撃のターゲットとなるのは、Microsoftのメール サービスやGmailの組織ユーザーだけではないということです。この手法は、さまざまなサービスの多要素認証保護の回避に利用できるのです。

ビジネス メール詐欺(BEC)は、今後も大きな脅威であり、組織には防御策が求められます。今回の記事で説明したとおり、脅威アクターは絶えず新たなドメインを登録し、組織でよく利用されるさまざまなオンライン サービスにターゲットを拡大しています。

多要素認証(MFA)などのセキュリティ機能によってセキュリティのレイヤーを拡充しても、それがフィッシング攻撃に対する特効薬になると考えてはいけません。脅威アクターは、AiTM攻撃などを利用した高度なフィッシング キットや、その他の巧妙な検出回避策を用いることで、従来のセキュリティ ソリューション、そして高度なセキュリティ ソリューションまでをもかいくぐることがあるのです。

さらなる侵害予防策として、ユーザーは、メールの発信元が信頼できないまたは不明な場合に添付ファイルやリンクをクリック開かないようにする必要があります。また、ベスト プラクティスとして、通常、資格情報の入力前にブラウザーのアドレス バーでURLを確認することが必要です。

ZscalerのThreatLabzでは、この進行中のキャンペーンをはじめとした種々の攻撃を継続的に監視し、お客様の安全を守ります。
 

侵害の痕跡(IoC)

フィッシング ドメイン

*.angalosos[.]xyz
*.mdks[.]xyz
*.7brits[.]xyz
*.fekir5[.]xyz
*.bantersplid[.]xyz
*.absmg[.]xyz
*.wultimacho[.]xyz
*.gsuiteworkstation[.]com
*.thyxyzjgdrwafzy[.]xyz
*.7dmjmg20p8[.]xyz
*.appfolders[.]xyz
*.4765445b-32c6-4-83e6-1d93765276[.]co
*.aucapitalsci[.]com
*.eaganins.click
*.disturbedmidiagroup.click


中間URLリダイレクター

注意:以下は侵害されたWebサイトです

*.southernlivingsavannah[.]com
*.sunnyislesdental[.]com
*.horticulturatanaka[.]com.br
ripple-hirodai[.]com
pathopowerreport[.]de
pagliaispizzakv[.]com
*.loftds[.]com
*.sabtsaeen[.]ir
*.jarrydrenton[.]com
*.alphamediaam[.]ir
*.hcapinfo[.]com
*.gamea[.]ir

 

form submtited
お読みいただきありがとうございました

このブログは役に立ちましたか?

Zscalerの最新ブログ情報を受信

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。