はじめに
Socketの脅威調査チームは、企業の人事(HR)および企業資源計画(ERP)プラットフォーム、具体的にはWorkday、NetSuite、SAP SuccessFactorsを標的とした、巧妙に連携されたChrome拡張機能キャンペーンを発見しました。
合計で2,300回以上インストールされた5つの悪意ある拡張機能が連携し、セッション認証情報の窃取、セキュリティ制御の妨害、そしてセッションハイジャックによるアカウント乗っ取りを可能にしています。
巧妙な手口と実態
これらの拡張機能のうち4つは「databycloud1104」という開発者名で公開され、5つ目は「Software Access」という異なる名称ですが、同一のインフラ、コードパターン、および標的プラットフォームを共有しています。
彼らは生産性向上ツールやアクセス制御ツールを装い、「プレミアム」な企業ツールへのアクセスを合理化し、複数のHR/ERPアカウントを管理できると謳っていました。しかし、実際には隠れた認証情報窃取とインシデント対応妨害の機能を実装していました。プライバシーポリシーでは「データを収集または使用しない」と虚偽の主張をしていたものの、分析により以下の悪質な行動が明らかになりました:
- 積極的なクッキー抽出
- 未開示のネットワークからのデータ抜き出し
- セキュリティおよびインシデント対応ページに対する標的型ブロック
3段階の攻撃手法
Socketの分析によると、このキャンペーンは5つの拡張機能全体で3つの連携した攻撃タイプに依存していました。
1. クッキーの抜き出しと永続的なセッション監視
「DataByCloud Access」、「Data By Cloud 1」、「Software Access」は、Workday、NetSuite、SuccessFactorsの認証トークンを含む__sessionクッキーを抽出しました。これらの拡張機能は、標的ドメインのすべてのクッキーを収集し、__session値をデコードした後、攻撃者によって制御されるAPI(api.databycloud[.]comまたはapi.software-access[.]com)に60秒ごとに送信していました。クッキー変更リスナーとChromeアラームを組み合わせることで、ユーザーがログアウトしても新しいトークンが継続的に収集されるようにしていました。
2. 管理者ページのブロックとインシデント対応の抑制
「Tool Access 11」と「Data By Cloud 2」は、Workdayの重要な管理およびセキュリティページへのアクセスをブロックするためにDOMを操作しました。XPath経由で特定のページヘッダーを検出し、即座にdocument.body.innerHTMLを消去し、不正なURLにリダイレクトすることで、認証ポリシー、セッション制御、パスワード変更、アカウント無効化、MFAデバイス管理、およびセキュリティ監査ログへのアクセスを阻止していました。MutationObserverと定期的なページリロードのループにより、Workdayのサンドボックス環境を含む動的なコンテンツや長時間のセッション全体でブロックが持続しました。
3. 双方向クッキーインジェクションとセッションハイジャック
「Software Access」は、窃取だけでなく、直接的なアカウント乗っ取りを可能にしました。C2サーバーから盗んだクッキーを受信した後、拡張機能はそれらを解析し、chrome.cookies.set()を使用して攻撃者のブラウザに注入しました。これにより、脅威アクターはパスワードやMFAチャレンジなしに被害者の認証済みセッションを引き継ぐことができ、ブラウザが企業HRおよびERPアカウントアクセス用のターンキーコンソールと化しました。
共通の基盤と使い捨てインフラ
これらの拡張機能は、セッション抽出ロジック、セキュリティツール検出リスト、APIパス(/api/v1/mv3)が同一であることから、単一のオペレーターがモジュール式のツールセットを運用していることが強く示唆されています。一部のバリアントは開発者ツールの検出と妨害のために「DisableDevtool」ライブラリをバンドルしており、「Software Access」は検査中にパスワードフィールドが平文に変換されるのを防ぐロジックを追加し、セキュリティ分析を直接妨害していました。
企業向けのブランドを冠しているにもかかわらず、関連するドメインは典型的な使い捨てインフラのパターンを示していました。software-access[.]comドメインはSSLハンドシェイクエラーを返し、機能するウェブサービスがホストされていないことを示しています。ルートドメインdatabycloud[.]comとsoftware-access[.]comは404エラーまたはSSLハンドシェイクの失敗を返し、コマンド&コントロールトラフィックのためにAPIサブドメインのみが維持されていました。約束された「プレミアムツール」を裏付ける正当な製品、ドキュメント、またはサポートは存在しません。
企業への影響と対策
継続的なクッキー窃取、インシデント対応のブロック、および自動化されたセッションハイジャックを組み合わせることで、この拡張機能クラスターは、セキュリティチームが不審なアクセスを検知しても、通常の制御による対処ができないシナリオを生み出します。
SocketはGoogleのChromeウェブストアセキュリティチームにテイクダウンリクエストを提出しました。企業に対しては、以下の対策を直ちに実施することを推奨しています。
- 環境全体のChrome拡張機能を監査し、一致するものを削除する。
- 関連するコマンド&コントロール(C2)ドメインをブロックする。
- クリーンで侵害されていないシステムから、影響を受けた認証情報をリセットする。
記事執筆時点では、これら5つの拡張機能すべてが調査中です。