2025年3月3日、FortiGuard Labsの研究者が新たなフィッシングキャンペーンを発見
この攻撃は、Microsoft SharePointとGraph APIを悪用し、Havoc C2フレームワークを展開する。
攻撃の流れは以下の通り
攻撃者が「制限付き通知」を装った偽メールを送信。
添付のHTML文書を開くと、OneDriveの接続エラーを偽装。
ユーザーが「修正」ボタンをクリックすると、悪意のあるPowerShellコマンドが自動コピー。
コマンド実行で攻撃者のSharePointサーバーのスクリプトが起動。
最終的にHavoc C2フレームワークがDLLとして注入される。
Havocは2022年10月にリリースされたオープンソースのポストエクスプロイテーションツールで、Cobalt Strikeに類似。攻撃者はMicrosoft Graph APIを通じて通信し、正規サービス内に悪意のあるトラフィックを隠蔽する。
この手法により、攻撃者は企業ネットワークに侵入し、横展開が可能となる。ClickFix攻撃は様々なマルウェア展開に使用され、サイバー犯罪者間で人気が高まっている。
from:Phishers Wreak ‘Havoc,’ Disguising Attack Inside SharePoint
【編集部解説】
この攻撃手法の特徴は、Microsoft SharePointやGraph APIといった正規のクラウドサービスを巧妙に悪用している点です。これにより、従来の検出手法をすり抜ける可能性が高まっています。
注目すべきは「ClickFix」と呼ばれる社会工学的手法です。ユーザーに偽のエラーメッセージを表示し、その修正のために悪意のあるコマンドを実行させるという巧妙な手口を使用しています。
また、オープンソースの「Havoc」フレームワークの使用も重要なポイントです。Cobalt Strikeに似た機能を持つこのツールは、攻撃者によるシステムの完全制御を可能にします。オープンソースであるため、カスタマイズが容易な点も懸念されます。
この攻撃手法が特に危険なのは、正規のMicrosoftサービスを利用している点です。悪意のある通信が正常なトラフィックに紛れ込むため、検出が非常に困難になります。
一方で、この事例はクラウドサービスのセキュリティ強化の必要性を浮き彫りにしています。大手クラウドプロバイダーは、このような脅威に対応するためのセキュリティ対策開発に注力するでしょう。
長期的には、AIを活用した高度な異常検知システムの開発が加速する可能性があります。また、技術的対策だけでなく、ユーザー教育の重要性も再認識されるでしょう。
この事例は、サイバーセキュリティが常に進化し続ける分野であることを示しています。企業や個人は、最新の脅威に常に注意を払い、セキュリティ対策を継続的に更新していく必要があります。