概要
最近、ハッカーがCloudFlareの保護機能を悪用して、Microsoft 365のログイン資格情報を盗む攻撃が確認されました。この攻撃では、CloudFlareのセキュリティ機能が悪意のあるフィッシングサイトをスクリーンし、セキュリティスキャナーや脅威リサーチャーから隠す役割を果たしています。
CloudFlareのセキュリティ機能が悪用される
CloudFlareは、組織がウェブサイトのパフォーマンスを向上させ、ボットやDDoS攻撃、自動スキャナーからの攻撃を防ぐために広く使用されています。しかし、これらの保護機能は、悪意のあるアクターがフィッシングページをCloudFlareのサービスの後ろにホストする際にも無意識のうちに恩恵を受けることがあります。
攻撃の手口
セキュリティ研究者は、Microsoft 365ユーザーを標的としたフィッシングキャンペーンを特定し、CloudFlareの反ボットと検証システムを悪用していることを確認しました。
攻撃者は、以下のゲートキーピング技術を実装して、セキュリティシステムがフィッシングサイトを特定することを防ぎました。
- CloudFlareのヒューマン検証ページを通過させる
- IPフィルタリングを使用して、訪問者のIPアドレスを特定する
- セキュリティ企業のIP範囲をハードコーディングしたブロックリストを使用する
- ユーザーエージェントを検査して、ボットやクローラーを検出する
これらの技術により、攻撃者はセキュリティスキャナーやボットがサイトを検出することを防ぎ、偽の「404 Not Found」ページを表示します。
クレデンシャルの窃取
攻撃者は、JavaScriptではなくカスタム仮想マシン関数を使用して、エンコードされた命令を実行することで、クレデンシャルの窃取ロジックを難読化しています。
ユーザーがすべてのゲートキーピングチェックを通過すると、スクリプトはMicrosoft 365のクレデンシャル窃取ページにリダイレクトするURLを生成します。
インフラストラクチャのパターン
このキャンペーンでは、以下の共通インフラストラクチャの指標が観察されました。
- ネームサーバー: cloudflare.com
- レジストラ: Namecheap
- MXホスト: registrar-servers.com, jellyfish.systems
- ホスティングISP: CloudFlare Inc.
これらの共通性は、新しいドメインを迅速に展開するための調整されたフィッシングフレームワークを示しています。
セキュリティ上の課題
このキャンペーンは、サイバーセキュリティにおける新たな課題を浮き彫りにしています。攻撃者は、ウェブサイトを悪用から保護するための正当なセキュリティおよびコンテンツ配信プラットフォームの後ろに隠れることが増えています。
サービスプロバイダーが顧客の検証と悪用の監視を強化することで、これらのプラットフォームがフィッシングやクレデンシャル窃取の操作に悪用される可能性が低くなると、セキュリティ研究者は述べています。
インフラストラクチャの指標
- securedreach.com
- wirelessmailsent.com
- suitecorporate.com
- suitetosecured.com