ハッカーが信頼できるウェブサイトを悪用
サイバーセキュリティ研究者によると、攻撃者は信頼できるインフラストラクチャを利用して攻撃を実行する傾向が高まっています。これは、自動化されたセキュリティツールが悪意のある活動を検出するのを難しくしています。最近の脅威インテリジェンスによると、攻撃者はWordPressインフラストラクチャを悪用して、非常に信憑性の高い偽のログインページをホストしています。
攻撃の詳細
この巧妙なフィッシングキャンペーンは、Microsoft Teamsユーザーを主な標的としていますが、XfinityやUAE Passのアカウントを持つ個人も標的となっています。
攻撃の手口
攻撃者は、信頼できる既存のウェブサイト内に悪意のあるインフラストラクチャを埋め込むことで、多くの標準的なメールセキュリティフィルタをバイパスしています。これにより、不注意な被害者が怪しいウェブアドレスに気付くのを防ぐことができます。
攻撃チェーン
攻撃者は、以下の方法を使用して被害者を罠にはめています:
- Microsoft Teamsの音声メッセージ:ターゲットユーザーは、偽のメール通知を受け取り、Microsoft Teamsに待機中の音声メッセージがあると虚偽の通知を受け取ります。
- 共有ドキュメントの通知:重要な新しいドキュメントがユーザーと共有されたと偽の通知を表示し、すぐに確認するよう促します。
- UAE Passのスプーフィング:アラブ首長国連邦のユーザー向けに地域特化した罠を使用し、偽のログインリクエストを送信して地域の資格情報を盗みます。
攻撃の流れ
攻撃の流れは以下の通りです:
- フック:攻撃は、ターゲットユーザーが偽のメールを開き、例えば偽のTeams音声メッセージ通知をクリックして「今すぐ聞く」アクションボタンをクリックしたときに開始します。
- ピボット:悪意のあるリンクをクリックすると、skimresources[.]comという追跡ドメインを介して素早く自動的にリダイレクトされます。
- ペイロード:ユーザーは、Microsoft Teams、Xfinity、またはUAE Passのログインポータルのピクセルパーフェクトな複製に最終的に到達します。
- 目標:ユーザーが手動でユーザー名とパスワードを入力すると、攻撃者は直ちに資格情報を収集し、下流のアカウントの乗っ取りや企業環境への侵入を容易にします。
インジケーターオブコムプロイズ(IOCs)
攻撃者は、通常のセキュリティスキャンを回避するために、ハイジャックされたウェブサイトの標準ファイル構造の深層部にフィッシングペイロードを隠しています。彼らは、/wp-includes/や/bin/などの正当なバックエンドディレクトリを悪用し、通常のウェブサイトの操作と見分けがつかないようにしています。
対策
ネットワークディフェンダーやセキュリティ管理者は、以下のアクティブなインジケーターオブコムプロイズ(IOCs)を監視し、ブロックする必要があります:
- crsons[.]net/wp-includes/js/tinymce/~
- crsons[.]net/wp-includes/cgi/UAE%20PASS.htm
- afghantarin[.]com/afghantarin/admin/waitme/~
- medinex[.]in/includes/bin/index[.]php
- cabinetzeukeng[.]net/config/[.]bin/voicemail
- rmedinex[.]com
著者情報
Divyaは、GBhackersのシニアジャーナリストで、サイバーアタック、脅威、データ漏洩、脆弱性など、サイバーワールドでの出来事について報道しています。
元記事: https://gbhackers.com/hackers-abuse-trusted-websites-in-new-attacks/