Last Updated on 2024-06-20 04:12 by 門倉 朋宏
EclecticIQのセキュリティアナリストは、金融機関を対象とした広範囲なフィッシングキャンペーンを発見しました。このキャンペーンでは、PDF添付ファイルに埋め込まれたQRコードを使用して、被害者をフィッシングURLにリダイレクトし、アメリカとヨーロッパ、中東、アフリカ(EMEA)地域の銀行、私的資金提供会社、信用組合サービスプロバイダーが標的にされました。
このキャンペーンの起源は、Telegramボットを介してアクセス可能なユーザーフレンドリーなインターフェースを通じて運営されるPhaaS(フィッシングアズアサービス)プラットフォーム「ONNX Store」にまで遡ります。ONNXサービスの主要な特徴は、暗号化されたJavaScriptコードを使用して2FA(2要素認証)リクエストを傍受し、検出の可能性を減らし、攻撃の成功率を高める2FAバイパスメカニズムです。
攻撃に使用されるフィッシングページは、Microsoft 365のログインインターフェースに酷似しており、タイポスクワッティングを使用しています。攻撃者は、この手法を利用してターゲットを騙し、認証情報を入力させます。
攻撃者が管理するランディングページは、敵対者イン・ザ・ミドル(AiTM)方式を使用してログイン認証情報と2FA認証コードを盗み出し、攻撃者がリアルタイムでMicrosoft 365に不正アクセスするために使用します。
ONNXは、以前にMandiantによって発見されたフィッシングキット「Caffeine」とTelegramインフラストラクチャと広告方法で重複しており、これがCaffeineのリブランドである可能性が示唆されています。
EclecticIQは、PDFドキュメント内の埋め込みQRコードやタイポスクワッティングドメイン、2FAトークンの盗難など、ONNX Storeによって使用される特定の戦術に対抗するための対策を提供しています。
【ニュース解説】
金融機関を標的にした高度なフィッシングキャンペーンが発覚しました。このキャンペーンは、特にアメリカとヨーロッパ、中東、アフリカ(EMEA)地域の銀行や資金提供会社、信用組合サービスプロバイダーを狙っています。攻撃者は、PDF添付ファイルに埋め込まれたQRコードを利用して被害者をフィッシングサイトに誘導し、そこで2要素認証(2FA)を回避する技術を駆使しています。
このキャンペーンの背後には、「ONNX Store」と呼ばれるフィッシングアズアサービス(PhaaS)プラットフォームがあり、Telegramボットを通じてユーザーフレンドリーなインターフェースを提供しています。ONNX Storeの特徴は、暗号化されたJavaScriptコードを使用して2FAリクエストを傍受し、攻撃の検出を困難にすることで成功率を高めることです。
攻撃に利用されるフィッシングページは、Microsoft 365のログインページに酷似しており、タイポスクワッティング(似たようなドメイン名を使用すること)を駆使しています。これにより、ユーザーが認証情報を入力する際に騙されやすくなっています。
攻撃者は、敵対者イン・ザ・ミドル(AiTM)方式を利用して、ユーザーが入力したログイン情報と2FAコードを盗み出し、これを使ってリアルタイムでMicrosoft 365アカウントに不正アクセスします。
ONNX Storeは、以前に発見されたフィッシングキット「Caffeine」といくつかの点で重複しており、これがCaffeineのリブランドである可能性が示唆されています。また、このキャンペーンは、フィッシング攻撃の手法としてQRコードや2FAバイパスなどの先進的な技術を使用している点で注目されます。
このような攻撃に対抗するためには、組織はPDFやHTMLの添付ファイルをブロックする、未確認の外部ソースからのメールを制限する、従業員にQRコードのリスクについて教育するなどの対策が必要です。また、ドメイン名システムセキュリティ拡張(DNSSEC)の実装や、FIDO2ハードウェアセキュリティキーの使用、ログイントークンの有効期限を短く設定するなど、2FAトークンの盗難に対する対策も重要です。
このキャンペーンは、金融機関だけでなく、一般の企業や個人にとっても警戒すべき事例です。2FAはセキュリティを強化する重要な手段ですが、このような高度な攻撃手法によって回避される可能性があることを認識し、常にセキュリティ対策を見直し、強化することが求められます。
