はじめに

Microsoft Defenderの研究者たちは、エネルギー業界の組織を標的とした高度な多段階AiTM（Adversary-in-the-Middle）フィッシングキャンペーンを明らかにしました。この攻撃は、SharePointのファイル共有サービスを悪用し、従来のメールセキュリティ制御を回避して複数のユーザーアカウントを侵害するものです。

SharePointを悪用した初期アクセス

攻撃は、侵害された信頼できるベンダーのメールアドレスから送信されたフィッシングメールから始まりました。このメールには、正規のドキュメント共有ワークフローを模倣したSharePointのURLが埋め込まれていました。攻撃者は、SharePointが持つ企業としての信頼性を悪用し、標準的なメール検出メカニズムを回避する悪意のあるペイロードを配信しました。

攻撃の手口と影響

被害者が認証を行い、SharePointリンクをクリックすると、ログイン資格情報とセッションクッキーを盗むために設計されたクレデンシャルハーベスティングページにリダイレクトされました。資格情報の窃取に成功した後、攻撃者は異なるIPアドレスからサインインし、すぐに受信したすべてのメールを削除し、既読としてマークする悪意のある受信トレイルールを作成しました。この戦術により、被害者は侵害に気づかないまま、攻撃者は最近のメールスレッドから特定した内部および外部の連絡先に600通以上の悪意のあるメールを送信する大規模なフィッシングキャンペーンを開始しました。

多段階攻撃の詳細

このキャンペーンは、攻撃者が被害者のメールボックスを監視し、配信されなかったメッセージや自動返信をアーカイブフォルダから削除することで、ビジネスメール詐欺（BEC）へと発展しました。受信者がフィッシングメールの信頼性について質問すると、攻撃者は侵害されたアカウントから直接返信し、メッセージが正当であると偽ってから、すべての証拠を削除しました。組織内でフィッシングURLをクリックした受信者は、二次的なAiTM攻撃の標的となりました。

Microsoftによる対応と推奨事項

Microsoft Defender Expertチームは、ランディングページのIPアドレスとサインインパターンを分析することで、侵害されたすべてのユーザーを特定し、複数の組織にわたる攻撃の全容を明らかにしました。Microsoftは、パスワードのリセットだけではAiTM攻撃を修復できないことを強調しています。組織は、次の対策を講じる必要があります。

• アクティブなセッションクッキーを失効させる
• 攻撃者によって作成された受信トレイルールを削除する
• 脅威アクターによって行われたMFA設定の変更を元に戻す

攻撃者は、追加のMFA方法を登録することで永続性を確立することが多く、パスワード変更後もアクセスを継続できる可能性があります。

IoCと組織への助言

侵害の痕跡（Indicators of Compromise: IoC）として、以下の攻撃者インフラのIPアドレスが特定されています。

• 178.130.46.8
• 193.36.221.10

エネルギー業界の組織は、直ちに受信トレイルールを監査し、異常なIPアドレスからの最近のサインインアクティビティを確認し、MFAをリスクベースの条件付きアクセスポリシーで補完してセッションハイジャック攻撃から防御することを推奨します。

---

元記事: https://gbhackers.com/aitm-attack-using-sharepoint-bypass/