概要
サイバーカルテルは、アトラシアンクラウドの信頼できるインフラストラクチャを利用して、大量の自動化されたスパムメールキャンペーンを展開し、被害者を詐欺的な投資スキームやオンラインカジノに誘導しました。この動きは、SaaS(ソフトウェアとしてのサービス)によって支えられたメールの悪用リスクが高まっていることを示しています。
サイバーカルテルの手法
攻撃者は、アトラシアンJira Cloudの強固なドメインレピュテーションと組み込みのメール認証機能を活用し、多くの従来のメールセキュリティ制御をバイパスしました。これにより、ユーザーが合法的なコラボレーションワークフローに信頼を持っていることを悪用することが可能になりました。
攻撃者はアトラシアンインフラストラクチャ自体を侵害する代わりに、無料またはトライアルアカウントを使用して一時的なJira Cloudインスタンスを作成し、共有されたアトラシアンホストIPスペースに解決しました。これにより、通常のテナントトラフィックと区別がつきにくくなりました。
メールの送信とリダイレクト
メールを受け取ったユーザーは、中間リダイレクトインフラストラクチャを経由し、商用メール配信プラットフォームなどを通じて最終的なランディングページに導かれました。これらのページでは、疑わしい投資やオンラインカジノが推奨されていました。
攻撃の詳細
このキャンペーンは、特定の言語、地理的地域、業界をターゲットとしており、政府機関や大企業環境での重複したコラボレーションツール使用も対象でした。
- メッセージは英語、フランス語、ドイツ語、イタリア語、ポルトガル語、ロシア語のユーザー向けにローカライズされていました。
攻撃者は、Jira通知フォーマットと個人化されたフレーズを組み合わせることで、メールが通常の環境で見慣れたものであるように装い、信頼性を高めました。
防御策
これらのキャンペーンは、信頼できるSaaSプラットフォームがスパムや詐欺、標的型フィッシングの配布チャネルとして再利用される可能性があることを示しています。セキュリティチームは、サードパーティクラウド生成メッセージを潜在的な脅威ベクタとして扱い、URL解析とユーザー認識対策を強化する必要があります。
- URLの書き換えや爆発検査
- 異常なJira生成件名や送信パターンに対するアノマリーデテクション
企業は、SaaSワークフローを保護する高度なアイデンティティ認識メールセキュリティソリューションの導入も検討すべきです。