フランスのサイバーセキュリティ企業、Sekoia.ioによるとMicrosoft365アカウントを標的とする新しいAiTM(Adversary in the middle)フィッシングキットが出回っているということです。このキットはテレグラム上でサイバー犯罪にかかるサービスを提供しているSneaky LogによってPhishing-as-a-Service(Phaas)として販売されているということです。
多要素認証も回避される
AiTMフィッシングはセッションCookieを盗んでアカウントを乗っ取る攻撃です。パソコンでアカウントを認証する際、ブラウザを介してユーザー名やパスワードが記憶され、同じパソコンでそのアカウントを再度認証する際は自動的にユーザー名やパスワードが記入されて認証される便利な機能がありますが、これはセッションCookieを利用している機能です。そのためセッションCookieが盗まれると攻撃者が盗んだセッションCookieを悪用してアカウントに侵入することが可能となり多要素認証も回避されてしまうということです。
Microsoft365のアカウントが乗っ取られるとOutlookも攻撃者の手に落ちることになり、攻撃者はメールのやりとりを注意深く観察した後、詐欺メールを取引先に送信して金銭窃取が発生します。いわゆるビジネスメール詐欺(BEC)です。AiTMフィッシングは、セッションCookieの窃取を目的としたフィッシングで、通常のフィッシングと同じようにフィッシングメールから攻撃は始まります。フィッシングメールからフィッシングサイトに誘導して認証を行わせる手順は従来のフィッシングと同じですが、従来のフィッシングがフィッシングサイトを介してさまざまな資格情報を窃取するのに対し、AiTMフィッシングはフィッシングサイトを介して実際の正規サイトの認証が行われ、その際にセッションCookiが窃取されます。被害者からは通常の認証をしただけにしか見えないためAiTMフィッシングとは気づかず、一方で攻撃者は窃取したセッションCookiで被害者になりすましてアカウントに侵入することが可能になります。
ビジネスメール詐欺犯罪のソリューション
こうしたAiTMフィッシングを自動化するツールが出回っておりEvilginx2、Modishka、Muraenaといったツールを使用して大規模なAiTMフィッシング攻撃が行われているようです。フランスのサイバーセキュリティ企業、Sekoia.ioの最近のレポートによると、Microsoft365アカウントの乗っ取りを目的とした新しいAiTMフィッシングキットが昨年10月ころから確認されているということです。このフィッシングキットは、Sneaky Phishing-as-a-Serviceによってテレグラムで販売、宣伝、運用されているということです。
サイバーセキュリティ企業のGroup-IBの最近のレポートではW3LLという脅威にについて明らかにしていますが、この脅威グループの主要な武器はW3LL Panel OV6と呼ばれるAiTMフィッシングキットで、このキットは企業のMicrosoft365アカウント侵害するために作成された高度なAiTMフィッシングキットだということです。W3LLは、W3LL Panel OV6を使ってアメリカ、イギリス、オーストラリアなどの企業のMicrosoft365アカウントを侵害し、ビジネスメール詐欺を行っているということです。また、地下のマーケットプレイスであるW3LLストアを立ち上げてビジネスメール詐欺キャンペーンを企画する犯罪者にフィッシングソリューションを提供しているということです。
Sekoia.ioによると、Sekoia.ioが最近発見したMicrosoft365アカウントを標的とするAiTMフィッシングキットは、W3LL Panel OV6のソースコードが含まれていたということですが、両者の関係性については明らかではありません。
■出典
https://blog.sekoia.io/sneaky-2fa-exposing-a-new-aitm-phishing-as-a-service/