関連インシデント
脅威アクターは、人工知能(AI)ベースのプレゼンテーションプラットフォームであるGammaをフィッシング攻撃に利用し、何も知らないユーザーを偽装したMicrosoftログインページに誘導しています。
「攻撃者は、比較的新しいAIベースのプレゼンテーションツールであるGammaを武器として利用し、偽のMicrosoft SharePointログインポータルへのリンクを配信しています」と、Abnormal Securityの研究者であるCallie Hinman Baron氏とPiotr Wojtyla氏は火曜日の分析で述べています。
攻撃チェーンはフィッシングメールから始まります。フィッシングメールは、侵害された正規のメールアカウントから送信される場合もあります。このメールは、受信者に埋め込まれたPDF文書を開くように誘導します。
実際には、PDF添付ファイルは単なるハイパーリンクであり、クリックすると、Gammaでホストされているプレゼンテーションにリダイレクトされ、「セキュリティで保護されたドキュメントを確認」ボタンをクリックするように促されます。
すると、ユーザーはMicrosoftを装った中間ページに移動し、想定されるドキュメントにアクセスする前にCloudflare Turnstileの認証手順を完了するよう指示されます。このCAPTCHAは、攻撃の正当性を高めるとともに、セキュリティツールによる自動URL分析を阻止する役割��を果たします。
その後、標的はMicrosoft SharePointのサインインポータルを装ったフィッシングページに誘導され、認証情報の収集を試みられます。
「不一致の認証情報が提供された場合、『パスワードが間違っています』というエラーが表示されます。これは、攻撃者が何らかの中間者攻撃 (AiTM)を使用して認証情報をリアルタイムで検証していることを示しています」と研究者らは指摘しています。
これらの発見は、正規のサービスを悪用して悪意のあるコンテンツを作成し、SPF、DKIM、DMARCなどのメール認証チェックを回避するフィッシング攻撃の継続的なトレンドの一部であり、これは「living-off-trusted-sites」(LOTS)と呼ばれる手法です。
「この巧妙な多段階攻撃は、今日の脅威アクターが、あまり知られていないツールによって生じる盲点を巧みに利用して検出を回避し、無防備な受信者を欺き、アカウントを侵害していることを示しています」と研究者らは述べています。
「攻撃者は、認証情報収集ページに直接リンクするのではなく、ユーザーを複数の中間段階に誘導します。まずGammaがホストするプレゼンテーションへ、次にCloudflare Turnstileで保護されたスプラッシュページへ、そして最後に偽装されたMicrosoftログインページへ誘導します。この多段階リダイレクトにより、真の宛先が隠蔽され、静的リンク分析ツールによる攻撃経路の追跡が困難になります。」
こ��の情報は、Microsoftが最新のCyber Signalsレポートで、ディープフェイク、音声複製、フィッシングメール、本物そっくりの偽ウェブサイト、偽の求人情報などを用いて、大規模な攻撃に利用される信憑性のあるコンテンツを生成するAI主導の詐欺攻撃の増加について警告したことを受けて公開されました。
「AIツールはWebをスキャンして企業情報を取得し、攻撃者が従業員やその他の標的の詳細なプロフィールを構築して、非常に説得力のあるソーシャルエンジニアリングのルアーを作成するのに役立ちます」と同社は述べています。
「場合によっては、AIを活用した偽の製品レビューやAI生成のストアフロントを使用して、ますます複雑な詐欺スキームに被害者を誘い込みます。詐欺師は、偽の事業履歴や顧客の声を備えたWebサイトやeコマースブランドを作成します。」
Microsoftはまた、Storm-1811 (別名STAC5777)による攻撃に対しても対策を講じたと発表しました。この攻撃は、Microsoft Quick Assistソフトウェアを悪用し、Teams経由で実行される音声フィッシングスキームを通じてITサポートを装い、被害者にリモートデバイスへのアクセスを許可させ、その後ランサムウェアを展開させます。
とはいえ、Teamsを標的としたフィッシング攻撃キャンペーンの背後にいるサイバー犯罪グループが戦術を変えている可能性を示唆する証拠があります。ReliaQuestの最新レポートによると、攻撃者はこれまで報告されていないTypeLib COMハ�イジャックと新たなPowerShellバックドアを用いた永続化手法を用いて、検出を回避し、侵害されたシステムへのアクセスを維持していることが確認されています。
この脅威アクターは2025年1月からPowerShellマルウェアのバージョンを開発しており、初期のバージョンは悪意のあるBing広告を通じて拡散していたと言われています。2か月後に検出されたこの活動は、金融、専門・科学・技術サービス分野の顧客を標的とし、特に女性らしい名前を持つ経営幹部レベルの従業員を標的としていました。
攻撃サイクルの後半段階における変化から、Storm-1811が新たな手法を進化させている、あるいは分派グループによるものである可能性、あるいは全く別の脅威アクターが、Storm-1811特有の初期アクセス手法を採用している可能性が浮上しています。
「フィッシングチャットは綿密に計画されており、午後2時から3時の間に送信されました。これは、受信組織の現地時間と完全に同期しており、従業員が悪意のある活動に警戒を怠りやすい午後の閑散期と一致していました」とReliaQuestは述べています(https://reliaquest.com/blog/threat-spotlight-hijacked-and-hidden-new-backdoor-and-persistence-technique/)。
「このMicrosoft TeamsフィッシングキャンペーンがBlack Bastaによって実行されたかどうかに関わらず、Microsoft Teamsを介したフィッシングがなくなることはないことは明らかです。攻撃者は、防御を回避して組織内に潜伏する巧妙な方法を常に模索しています。」