2024年2月13日、Proofpointの研究者たちは、昨年11月から続いているフィッシングキャンペーンにより、数百のクラウドアカウント乗っ取り(ATO)が発生し、多数のAzure環境が侵害されたと報告した。このキャンペーンでは、Cスイート役員やVP、営業ディレクター、財務マネージャーなどの上級職が主な標的とされた。攻撃者は、これらのアカウントを通じて、さらなる犯罪活動に利用可能なあらゆるリソースにアクセスすることを目的としている。
攻撃者は、特定のLinuxユーザーエージェントを使用して「OfficeHome」サインインアプリケーションにアクセスし、他のMicrosoft 365アプリにも同様の手法を用いた。このキャンペーンは、攻撃者が多要素認証(MFA)を操作してシステムへの永続的なアクセスを確立し、正規のビジネスメールアカウントを完全に制御下に置いて内部および外部のフィッシングキャンペーンを実施することを含む、複数の後続活動を伴った。攻撃者は、HR部門や財務部門を狙った個別のメッセージを送信することで、金融詐欺の試みも行った。
このフィッシングキャンペーンは現在も続いており、研究者は予期せぬメールに対する警戒を呼びかけている。攻撃インフラに関しては、攻撃者がターゲットに近いプロキシサービスを使用して地理的フェンシングポリシーを回避し、ローカルの固定回線インターネットサービスプロバイダー(ISP)を利用していることが明らかにされた。システムのセキュリティを強化するための一般的なアドバイスには、侵害されたユーザーの資格情報の変更の強制、セキュリティ製品の正しい設定の確認、ATOの検出、自動修復ポリシーの実装が含まれる。
【ニュース解説】
昨年11月から続いている大規模なフィッシングキャンペーンが、数百のクラウドアカウントの乗っ取り(ATO)と多数のAzure環境の侵害を引き起こしていることが、セキュリティ研究機関Proofpointによって報告されました。このキャンペーンは、企業の上層部、特にCスイート役員やVP、営業ディレクター、財務マネージャーなどの高位職をターゲットにしています。攻撃者の主な目的は、これらのアカウントを通じて可能な限り多くの権限を得て、さらなる犯罪活動に利用することです。
攻撃者は特定のLinuxユーザーエージェントを使用してMicrosoft 365の「OfficeHome」サインインアプリケーションにアクセスし、その後も同様の手法で他のアプリケーションにアクセスしています。このキャンペーンでは、多要素認証(MFA)の操作や、正規のビジネスメールアカウントの完全な制御を通じて、内部および外部向けのフィッシングキャンペーンを実施するなど、複数の後続活動が行われました。また、攻撃者はHR部門や財務部門を狙った金融詐欺の試みも行っています。
このフィッシングキャンペーンは依然として続いており、ユーザーに対しては予期せぬメールに対する警戒を呼びかけています。攻撃インフラについては、攻撃者が地理的フェンシングポリシーを回避するためにターゲットに近いプロキシサービスを使用し、ローカルの固定回線ISPを利用していることが明らかにされました。システムのセキュリティを強化するための一般的なアドバイスには、侵害されたユーザーの資格情報の変更の強制、セキュリティ製品の正しい設定の確認、ATOの検出、自動修復ポリシーの実装が含まれます。
このキャンペーンの影響は、企業のセキュリティ体制にとって重大なものです。特に、高位職のアカウントが乗っ取られることで、攻撃者は企業の内部情報にアクセスしやすくなり、さらには企業の信頼性や財務に直接的な損害を与える可能性があります。このような攻撃は、企業がセキュリティ対策を常に最新の状態に保ち、従業員に対してセキュリティ意識の向上を図ることの重要性を改めて浮き彫りにしています。また、攻撃者が地理的フェンシングを回避するための手法を用いることで、地理的な制限を超えたサイバー攻撃の脅威が高まっていることも示されています。企業は、これらの脅威に対抗するために、より高度なセキュリティ対策と従業員教育の強化が求められます。
from Crooks hook hundreds of exec accounts after phishing in Azure C-suite pond.