概要:Okta SSOアカウントが新たな標的に
セキュリティ企業Oktaは、音声ベースのソーシャルエンジニアリング(ビッシング)攻撃専用に構築されたカスタムフィッシングキットの出現について警鐘を鳴らしています。これらのキットは、Oktaのシングルサインオン(SSO)クレデンシャルを盗み、企業データの窃取を目的とした活発な攻撃に利用されていることが判明しました。
Oktaのレポートによると、これらのフィッシングキットは「サービスとしてのフィッシング」モデルとして販売されており、複数のハッキンググループがGoogle、Microsoft、OktaなどのIDプロバイダーや暗号通貨プラットフォームを標的とするために積極的に使用しています。
巧妙化する攻撃手法:リアルタイム操作とMFAバイパス
従来の静的なフィッシングページとは異なり、これらの「アドバーサリー・イン・ザ・ミドル」プラットフォームは、音声通話を通じたライブでのやり取りのために設計されています。攻撃者は通話の進行に合わせてリアルタイムでコンテンツを変更し、ダイアログを表示できます。キットの核となる機能は、認証プロセスを直接制御するスクリプトを介して、標的をリアルタイムで操作することにあります。
被害者がフィッシングページに認証情報を入力すると、その情報は攻撃者に転送され、攻撃者は通話中にサービスへのログインを試みます。サービスがプッシュ通知やOTPなどの多要素認証(MFA)チャレンジで応答すると、攻撃者は新しいダイアログを選択し、フィッシングページを瞬時に更新して、被害者がログインを試みたときに表示される内容と一致させます。この同期により、不正なMFA要求が正当なものに見えてしまいます。
Oktaは、これらの攻撃が高度に計画されており、脅威アクターが標的の従業員について、使用しているアプリケーションや会社のITサポートに関連する電話番号を含む偵察活動を行っていると述べています。その後、カスタマイズされたフィッシングページを作成し、偽装した企業またはヘルプデスクの電話番号を使用して被害者に電話をかけます。
パスワードとMFAコードの窃取
- 被害者がフィッシングサイトにユーザー名とパスワードを入力すると、それらの認証情報は攻撃者のバックエンドに中継されます(通常は脅威アクターが運営するTelegramチャネル)。
- これにより、攻撃者はすぐに実際の認証試行をトリガーし、MFAチャレンジを表示させます。
- 脅威アクターが標的と電話で話している間に、被害者にMFA TOTPコードをフィッシングサイトに入力するように指示し、これを傍受してアカウントにログインします。
Oktaは、これらのプラットフォームがナンバーマッチングを含む最新のプッシュベースのMFAもバイパスできると指摘しています。これは、攻撃者が被害者に対し、どの番号を選択すべきかを指示し、同時にフィッシングキットのC2がウェブサイトに一致するプロンプトを表示させるためです。
データ窃取と恐喝を伴う標的型攻撃
これらの攻撃は、企業のデータ窃取のために利用されています。BleepingComputerが入手した情報によると、脅威アクターは従業員に電話をかけ、ITスタッフになりすましてOkta SSOサービスへのログインにパスキーを設定する手助けを申し出ていました。被害者は、「inclusivity-team[.]onrender.com」で以前ホストされていたSocket.IOサーバーを介してリアルタイムで中継される「アドバーサリー・イン・ザ・ミドル」フィッシングサイトに誘導され、SSOクレデンシャルとTOTPコードを盗まれていました。
フィッシングウェブサイトは企業名にちなんで名付けられ、一般的に「internal」または「my」という単語を含んでいます。例えば、Googleが標的の場合、「googleinternal[.]com」や「mygoogle[.]com」のようなサイト名が使用されます。
従業員の認証情報が盗まれると、攻撃者はOkta SSOダッシュボードにログインして、アクセスできるプラットフォームを確認し、そこからデータを盗みます。「ソーシャルエンジニアリングベースのフィッシング攻撃を使用して従業員のSSOクレデンシャルを侵害することにより、お客様のリソースへの不正アクセスを獲得しました」と、脅威アクターが被害者に送ったセキュリティレポートには記載されています。「私たちは様々な従業員に連絡を取り、SSOクレデンシャル、特にTOTPを提供するように説得しました。」
また、このレポートには、「私たちは従業員のOktaダッシュボードで、機密情報を扱う可能性のある様々なアプリを調査しました。Salesforceからのデータ引き出しが非常に簡単であるため、主にSalesforceからデータを持ち出しました。Salesforceの使用をやめ、別のものを使用することを強くお勧めします。」と記されています。
検出されると、脅威アクターはすぐに会社に恐喝メールを送り、データの公開を防ぐための支払いを要求します。情報筋によると、これらの恐喝要求の一部は、昨年の多くのデータ侵害、特に広範囲にわたるSalesforceデータ窃取攻撃の背後にいる悪名高い恐喝グループ「ShinyHunters」によって署名されていました。
現在、脅威アクターはフィンテック、資産運用、金融、およびアドバイザリー業界の企業を積極的に標的としていると報告されています。
Oktaが推奨する対策
Oktaは、顧客に対し、これらの洗練されたビッシング攻撃に対する防御策として、以下のフィッシング耐性のあるMFAの使用を強く推奨しています。
- Okta FastPass
- FIDO2セキュリティキー
- パスキー
Oktaは、「お客様を安全に保つことが最優先事項です。Oktaの防御的サイバーオペレーションチームは、Oktaのサインインページを模倣するように構成されたフィッシングインフラを定期的に特定し、ベンダーにその調査結果を積極的に通知しています。」と述べています。
「フィッシングキャンペーンがいかに洗練され、悪質になっているかは明らかであり、企業はシステムを保護し、従業員に注意深いセキュリティベストプラクティスを教育し続けるために、必要なすべての措置を講じることが重要です。」
Oktaは、ソーシャルエンジニアリング攻撃を特定し、防止するためのベストプラクティスと実践的なガイダンスを顧客に提供しており、セキュリティブログ(https://www.okta.com/blog/threat-intelligence/help-desks-targeted-in-social-engineering-targeting-hr-applications/ および https://www.okta.com/blog/threat-intelligence/phishing-kits-adapt-to-the-script-of-callers/)で詳細を公開しています。