はじめに
セキュリティ運用センターEvalianは、HubSpotの顧客を標的とした高度なフィッシングキャンペーンを明らかにしました。この攻撃は、ビジネスメール詐欺(BEC)の手法とウェブサイトの改ざんを組み合わせ、気づかないうちにユーザーから認証情報を盗み出すマルウェアを拡散しています。
現代の脅威アクターがいかに進化し、従来のメールセキュリティ対策を回避しているかを示す事例として、この多層的な攻撃は注目に値します。
攻撃の手口
このフィッシングキャンペーンは、正規のインフラと偽装された通信の両方を悪用する欺瞞的なアプローチを採用しています。攻撃者はHubSpotになりすましたメールを送信し、不審な登録解除アクティビティを理由にアカウントの確認を促しました。
特筆すべきは、メール本文内のURL自体は悪意のあるものではなく、送信者の表示名にフィッシングURLが直接埋め込まれていた点です。これは、通常リンク分析に焦点を当てるメールセキュリティゲートウェイの目を欺くために考案された手法です。
さらに、攻撃の巧妙さは、正規のメールアドレスを制御するためのビジネスメール詐欺(BEC)に及び、そのアドレスを人気のあるメールマーケティングプラットフォームであるMailChimpを介して利用し、キャンペーンを大規模に配信しました。このアプローチにより、侵害されたドメインとMailChimpのインフラの両方の信頼された評判のため、フィッシングメールはセキュアメールゲートウェイをバイパスすることができました。
認証情報窃取インフラ
悪意のあるインフラの調査の結果、正規のウェブサイト「canvthis[.]com」が侵害され、ユーザーを「hxxps://hubspot-campaigns[.]com/login」でホストされている認証情報窃取サイトにリダイレクトするように設定されていたことが判明しました。この偽のログインページは、本物のHubSpotログインポータルと視覚的に酷似しており、非常に説得力があります。
ユーザーが認証情報を入力すると、情報はロシアのサンクトペテルブルクでホストされているインフラ上の「login.php」ファイルに送信されました。ホスティングインフラは、フィッシングキャンペーンの促進で悪名高いロシアの「弾丸プルーフホスティングサービス」であるProton66 OOO(ASN AS198953)にまで遡ることができます。OSINT分析により、この同じIPアドレスが複数の他のフィッシングキャンペーンに関連付けられており、異なる脅威アクターまたはキャンペーン間でのインフラの再利用が示唆されています。
侵害されたサーバーは、急遽デプロイされたフィッシングインフラに典型的な特性を示しています。Plesk管理の仮想プライベートサーバーにホストされ、自動生成されたホスト名(*.plesk[.]page)を持ち、PostfixとDovecotを含む完全なメールスタックと、公開されているPlesk管理パネルを公開していました。このインフラは、自己発行のTLS証明書を使用し、レガシー認証方法で公開されたSMTP、IMAP、およびサブミッションサービスを維持していました。ポートスキャンは、DNS(53)、SSH(22)、HTTP/HTTPS(80/443)、および複数のPleskインターフェース(8443、8880)を含む広範な攻撃対象領域を明らかにしています。
メールセキュリティへの影響と対策
このキャンペーンは、メール認証プロトコル(SPF、DKIM、DMARC)のみに依存することの限界を浮き彫りにしています。これらのプロトコルはSMTPレベルでのメッセージのなりすましを防ぎますが、メッセージの安全性を保証するものではありません。
脅威アクターは、MailChimp、SendGrid、Salesforceなどの正規のサードパーティメールサービスを悪用し、信頼されたプラットフォームを悪用することで認証チェックをバイパスしています。セキュリティ運用チームにとって、この攻撃は単純なドメインブロックを超えた対策が必要であることを示しています。
効果的な検出には、以下の要素が必要です。
- インフラのパターンを追跡する
- クラウドメールプロバイダーを監視する
- TLSアーティファクトを分析する
- 洗練された通信に対しても懐疑的な姿勢を奨励するユーザー教育プログラムを実施する
このキャンペーンは、ブランドのなりすましとInfrastructure-as-a-Serviceを組み合わせ、基本的な防御を上回りながら効率的に攻撃を拡大するという、フィッシングの巧妙さの大きな進化を示しています。