Proofpoint Blog 29回「EvilProxyを用いたクラウドアカウントを乗っ取る攻撃キャンペーンが100以上のグローバル組織の経営陣を狙う」

●主なポイント

・プルーフポイントのリサーチャーによると、過去 6ヶ月の間に、大手企業の上級管理職のクラウドアカウントの乗っ取りに成功したインシデントが 100 %以上劇的に急増しました。

・全世界で 100 以上の組織が標的となり、合わせて 150 万人の従業員が被害に遭いました。

・攻撃者は、リバースプロキシアーキテクチャに基づくフィッシングツールである EvilProxy を利用し、MFA で保護された認証情報とセッションクッキーを盗み出しました。

・多要素認証の導入が進む中、これをかいくぐるための巧妙な Adversary-in-the-Middleフィッシングと高度なアカウント乗っ取り手法を組み合わせた脅威が急増しています。

　多要素認証（MFA）の利用は、ここ数年、組織で増加しています。しかし残念ながら、MFA を導入しているテナントでのアカウント侵害が増加しています。プルーフポイントのデータによると、過去 1 年間に侵害されたユーザーのうち、少なくとも 35 ％が MFA を有効にしていました。

　攻撃者はアカウントを侵害する方法を進化させており、プルーフポイントが注視している手法は特に効果的でした。攻撃者は、高度な自動化の仕組みを新しく取り入れ、フィッシングに引っ掛かったユーザーが高い役職の人物であるかをリアルタイムで正確に判断し、すぐにアカウントへのアクセスを取得します。

●EvilProxy について：悪と化したリバースプロキシ

　以前発表したブログでは、MFA の採用が進むにつれて、この一般的になったセキュリティ・レイヤーをバイパスするように設計されたフィッシング・キットやツールがどのように普及したかを探りました。本ブログでは、脅威がますます EvilProxy などの Adversary-in-the-Middle (AitM)フィッシング・キットを使用し、認証情報とセッション・クッキーをリアルタイムで盗むようになっていることを報告します（図1）。プルーフポイントがこのブログを執筆している時点では、MFAバイパス・キットを用いた脅威は大きく拡大しています。

　攻撃者はオープンソースキットの需要の市場機会を捉え、MFA フィッシング アズ ア サービス （Phishing as a Service: PhaaS)を開発しました。これによって、技術力がない攻撃者でも、さまざまなオンラインサービス（Gmail、Microsoft、Dropbox、Facebook、Twitter など）用に事前に設定されたキットを購入し、使用することができるようになりました。

　現在、攻撃者が必要とするのは、ボット検知、プロキシ検知、ジオフェンシングなどのカスタマイズ可能なオプションを備えたクリックだけで使うことができる簡単なインターフェースを使用して攻撃キャンペーンをセットアップすることだけです。この比較的シンプルで低コストのインターフェイスによって、MFAフィッシングの成功の門が開かれました。このようなインターフェースとツールキットの 1 つが EvilProxy で、入手、設定、セットアップが簡単におこなうことができる包括的フィッシング・キットとなっています。

　フィッシングツールとしての EvilProxy の有効性は広く認識されていますが、プルーフポイントの脅威アナリストは、そのリスクと潜在的な影響に関する一般的な認識のギャップを指摘しています。他にも複数のプロキシやフィッシングキットが存在しますが、このブログでは、ビジネスメール侵害（BEC）やアカウント乗っ取り（Account Take Over: ATO）のインシデントを引き起こした EvilProxy攻撃手法とその結果について検証します。

●調査結果：プルーフポイントによる EvilProxy を用いた攻撃の観測

　3 月上旬以来、プルーフポイントのリサーチャーは、EvilProxy を使用して数千の Microsoft 365ユーザーアカウントを標的とした進行中のハイブリッド型攻撃キャンペーンを監視してきました。このキャンペーンの全体的な広がりは目を見張るものがあり、2023 年 3 月から 6 月にかけて、世界中の数百の標的組織に約 12 万通のフィッシングメールが送信されています。

攻撃のフィッシングステージにおいて、攻撃者が使った注目すべきテクニックは以下の通りです：

・ブランドへのなりすまし：送信者アドレスを、Concur Solutions、DocuSign、Adobe などの信頼できるサービスやアプリになりすましました。

・スキャンブロック：攻撃者はサイバーセキュリティのスキャンボットに対する防御を利用し、セキュリティソリューションが悪意のある Webページを分析することを困難にしていました。

・多段階感染チェーン：攻撃者は、YouTube などの正規のリダイレクタを経由してトラフィックをリダイレクトし、悪意のある Cookie や 404リダイレクトなどの追加ステップを実行しました。

●フェーズ1 - EvilProxy の動作

　当初、攻撃者は、ビジネス経費管理システムの Concur、DocuSign、Adobe など、信頼できるサービスになりすましていました（図 5 および 6）。攻撃者は、なりすました電子メール・アドレスを使用して、悪意のある Microsoft 365フィッシング サイトへのリンクを含むフィッシング・メールを送信しました。

　DocuSign、Adobe Sign、Concur を装った電子メールには、以下の通り、多段階の感染チェーンを開始する悪意のある URL が含まれていました。

・まず、ユーザーのトラフィックは、オープンな正規のリダイレクタ（youtube[.]com、bs.serving-sys[.]com など）を経由してリダイレクトされます。

・次に、ユーザートラフィックは、悪意のあるクッキーや 404リダイレクトを含む、さらにいくつかのリダイレクトステップを経る可能性があります。トラフィックを方々に散らばせることによって、予測不能にすることで、検知される可能性を下げるために行われます（参照：図2）。

・最後に、ユーザーのトラフィックは EvilProxyフィッシング・フレームワークに誘導されます。このランディング ページはリバースプロキシとして機能し、受信者のブランディングを模倣し、サードパーティの IDプロバイダを取り扱います。必要であれば、これらのページには被害者に代わって実際に認証を成功させるために MFAクレデンシャルを要求することがあります。

　この攻撃フローで悪用されているドメインの 1 つである bs.serving-sys[.]com は、ユーザーをさまざまな望ましくない Webページにリダイレクトすることで知られているドメインです。攻撃の最初の波では、攻撃者はこのドメインを利用してトラフィックを悪意のある Webサイトに誘導します。

　次の波では、セキュリティソリューションによる検出を防ぎ、ユーザーにリンクをクリックさせるために、攻撃者は評判の良いウェブサイト（YouTube、SlickDeals など）にリダイレクト・リンクを貼り付けます。

以下は、YouTube をリダイレクト・ドメインとする悪質な URLパターンの例です：

https://www.youtube[.]com/attribution_link?c=10570810&u=http://dseapps.web[.]app/pi2Pss****3RWO3BM2?id=com.google.android.apps.youtube.music

　いくつかのリダイレクトページを分析した際、プルーフポイントのリサーチャーは、攻撃の最初の日に現れ、他の攻撃とは異なる小さいながらも重要な特徴を見つけました。

　それは、リダイレクト文字列の些細なタイプミスでした。ユーザーを「https」のページに転送する代わりに、攻撃者は誤って「hhttps」のアドレスを指してしまったのです（図3）。このため、リダイレクトフローは失敗しました。

　自動スキャンツールからユーザーの電子メールを隠すため、攻撃者はユーザーの電子メールを特殊文字にエンコーディングし、ハッキングされた正規のウェブサイトを利用して、特定のユーザーの電子メールアドレスをデコードするための PHPコードをアップロードしました。

　電子メールアドレスをデコードした後、ユーザーは最終的なウェブサイト、つまりターゲットの組織のためだけに作られた実際のフィッシング・ページに転送されました。

　このエンコーディングにはいくつかのバリエーションがあり、攻撃の波ごとに変化していきましたが、デコードの基本コンセプトはどれも同じでした。

・メールアドレスは小文字のみで表記
・数字または大文字は、別の数字または文字と対になってデコードされる
・攻撃者は、観測されたすべてのリンクで以下の解読パターンを利用

　私たちが観測したもう 1 つの不思議な要素は、特定の地域から悪意のあるフィッシング Webページにアクセスした際に、攻撃の流れが明らかに変化することです。具体的には、トルコの IPアドレスから発信されたユーザートラフィックは、攻撃者のコントロールの及ばない正当なウェブページに誘導されました。この変化は、プロキシサービスが「セーフリスティング」の一種を用いていることで説明できるかもしれませんが、この動作はトルコから発信されたトラフィックにのみ見られました。（proofpoint Blog 記事図5を参照）この流れが本当に意図的なものであるとすれば、このキャンペーンの背後にいる攻撃者はトルコに拠点を置いているように考えられ、あるいはトルコのユーザーを標的にすることを意図的に避けていたことを示唆している可能性があります。また、世界中の数多くの VPN が悪質なフィッシング Webサイトへのアクセスをブロックしていることも特筆に値します。

●フェーズ2 – アカウント侵害

　プルーフポイントの調査によると、標的となったユーザーのリストには、大手企業の Cクラスの幹部や副社長など、狙う価値の高いターゲットが多数含まれていました。これらの役職者は、機密データや金融資産にアクセスできる可能性があるため、攻撃者に特に重宝されています。標的とされたユーザーが認証情報を提供すると、攻撃者は数秒以内に Microsoft 365アカウントにログインすることができ、これは合理化および自動化されたプロセスであることを示しています。

　最初のフィッシングの誘い文句に引っかかって認証情報を送信したすべてのユーザーが、悪質な行為者によってアクセスされたわけではありません。私たちが観察した他の悪質なキャンペーンとは対照的に、このケースでは、攻撃者は明らかに「VIP」のみにターゲットの優先順位をつけ、自分たちにとって価値の低いターゲットは無視していました。このパターンは、他の情報源から入手した被害者の組織情報（おそらく一般に公開されている情報）を利用するプロセスの兆候である可能性があります。

　侵害された数百人のユーザーのうち、約 39 ％が Cレベルのエグゼクティブで、そのうち 17 ％が最高財務責任者（CFO）、9 ％が社長や最高経営責任者（CEO）でした。攻撃者はまた、より低いレベルであっても、金融資産や機密情報にアクセスできる担当者に焦点を当てています。

●フェーズ３ - 侵害後のアカウントの悪用

　攻撃者はいったん被害者のアカウントにアクセスすると、影響を受けた組織のクラウド環境内で足場を固めていきました。複数の状況において、攻撃者は、Microsoft 365 のネイティブアプリケーションを利用して MFA 操作を実行しました。「My Sign-Ins（自分のサインイン）」（図9）を利用することで、攻撃者は独自の多要素認証方法を追加し、侵害されたユーザーアカウントへの永続的なアクセスを確立することができました。攻撃者が好んで使用した認証方法は、「Authenticator App with Notification and Code」（図 10）でした。

●結論

　攻撃者は、ユーザーの認証情報を盗み出し、貴重なユーザーアカウントへのアクセスを獲得する新しい方法を常に模索しています。彼らの手法やテクニックは、多要素認証のような新しいセキュリティ製品や手法に常に適応しています。このブログが示すように、MFA ですら高度な脅威に対する特効薬ではなく、さまざまな形態の電子メールとクラウドを組み合わせた攻撃によってバイパスされる可能性があります。

　リバースプロキシの脅威（特に EvilProxy）は、今日のダイナミックなサイバー情勢における強力な脅威であり、過去の性能の低いフィッシュキットとはまったく異なります。その人気は著しく上昇し、組織の防御戦略において決定的なギャップを露呈しています。そのため、攻撃者はすぐに使うことができる高度なフィッシングキットを活用するよう移行しており、ハイブリッド攻撃の有効性と速度の上昇につながっています。

　これらの攻撃の最初の侵入経路は電子メールですが、最終的な目標は、貴重なクラウドユーザーのアカウント、資産、およびデータを侵害し、悪用することです。「VIP」ユーザーのアカウントにアクセスすると、攻撃者はまず、足場を確立し、永続性を確立することで、自分たちの利益を確保しようとします。そして、そのアクセスを悪用しようとします（図9）。

　こうした攻撃の最後の段階で、サイバー犯罪者はラテラルムーブメントやマルウェアの拡散など、さまざまなテクニックを駆使します。攻撃者は、攻撃を準備し、成功率を向上させるために、標的組織の文化、組織階層、プロセスを研究することが知られています。

　攻撃者は、不正アクセスを収益化するために、金銭詐欺、情報窃取、HaaS（Hacking-as-a-Service）トランザクションを実行し、侵害されたユーザーアカウントへのアクセスを販売しています。

●推奨策

　以下は、高度なハイブリッド（電子メールとクラウド）の脅威から組織を守るための方法です。

・メールセキュリティ：ユーザーを狙う悪意のある電子メールの脅威をブロックし、監視します。効果的な BEC防止ソリューションにより、攻撃対象領域を大幅に縮小できます。

・クラウドセキュリティ：クラウド環境内の アカウント侵害（ATO）と機密リソースへの不正アクセスを特定します。

　・これらのソリューションは、悪用されたサービスやアプリケーションの可視化を含め、最初のアカウント侵害と侵害後の活動の両方を正確かつタイムリーに検出する必要があります。

　・自動修復機能を採用し、攻撃者の滞留時間を短縮して潜在的な損害を低減します。

・Webセキュリティ：電子メールに埋め込まれたリンクから開始された悪意のあるセッションを隔離環境で実行します。

・セキュリティ意識の向上： Microsoft 365 を使用する際に、これらのリスクを認識するようユーザーを教育します。

・FIDO：FIDOベースの物理セキュリティキーの採用を検討します。

　プルーフポイントでは、クラウドアプリを保護し、Microsoft 365 クラウド環境をセキュアにするための無料のアセスメントをご用意しています。

●IOC（侵害の痕跡：Indicators of Compromise）