デジタル泥棒(おそらくクレムリンとつながりのある悪党たち)が、偽の Microsoft Teams 会議招待メールを送りつけ、政府や企業の主要部門の被害者を騙して認証トークンを渡させ、メールやクラウド データ、その他の機密情報へのアクセスを許可させようとしている。
マイクロソフトが今週発表したところによると、この詐欺は8月から続いており、同社がStorm-2372として追跡している「ロシアの国家利益のために活動する」悪党集団によるものだという。
クレムリンが指揮する他のハッカー集団、別名Midnight Blizzardも、同様に高価値な分野の標的をフィッシングするためにTeamsチャットを利用している、とWindowsの巨人は過去に警告している。
レドモンド社によると、この最新のフィッシング攻撃では、ストーム2372は、欧州、北米、アフリカ、中東の政府、非政府組織、ITサービスおよびテクノロジー、通信、医療、高等教育、エネルギー/石油・ガス業界を標的としたという。
このキャンペーンでは、「デバイスコードフィッシング」と呼ばれる手法が用いられ、攻撃者が被害者のアカウントにアクセスするために必要なすべての情報(ユーザー名、パスワード、攻撃者がMicrosoftに要求したデバイス認証コード、そしてユーザーのMFA応答)を、標的から取得しようとします。以下は、レドモンド氏が作成したこの攻撃の流れを示す図です。
Storm-2372のデバイスコードフィッシング攻撃サイクル…クリックして拡大。出典:Microsoft
Storm-2372は、まずWhatsApp、Signal、Microsoft Teamsなどのメッセージングアプリ上で「標的に関連する著名人になりすます」ことで信頼関係を築くと言われています。研究者によると、攻撃者は被害者の信頼を得た後、偽装したMicrosoft Teamsの会議招待状を添付したフィッシングメールを送信します。
受信者が会議の招待状をクリックすると、正規のMicrosoftログインページに移動し、Storm-2372が以前にWindowsの巨人から要求したデバイス検証コードの入力を求められます。被害者がデバイスコードを入力し、Microsoftで認証すると、攻撃者はこのIT巨人から有効なアクセストークンを取得できます。このトークンは、トークンが有効な限り、パスワードやMFAを必要とせずに被害者のメールアカウントやクラウドストレージアカウントにアクセスできます。
ここで重要なのは、この犯罪集団が Microsoft にデバイス コードを要求し、被害者を騙してそのコードで認証させ、攻撃者用のアクセス トークンを生成して、被害者のアカウントにアクセスできるようにするという点です。
- ロシアのサンドワームがアメリカとイギリスの組織から認証情報やデータを盗み取る
- ランサムウェアの悪党はテクニカルサポートを装ってRegの読者を個人的に攻撃する
- ロシアのCozy BearがMicrosoft Teamsを攻撃し、主要ターゲットをフィッシング攻撃
- グーグルによると、犯罪王とならず者国家のスパイが協力しているという。
「脅威の攻撃者は、この有効なセッションを利用して、被害者のアカウントから発信された組織内メールを通じて、デバイスコード認証へのリンクを含む追加のフィッシングメッセージを他のユーザーに送信し、新たに侵害されたネットワーク内を横方向に移動する」とレドモンドの脅威情報チームは述べた。
また、このテクノロジー大手は、上記の手法は「マイクロソフト特有の攻撃を反映したものではなく、この活動を可能にする脆弱性も当社のコードベースには見つかっていない」と主張した。
また、マイクロソフトは、Microsoft Graph を使用して、ユーザー名、パスワード、管理者、チームビューアー、エニーデスク、資格情報、秘密、省庁、政府などの単語を含むメッセージをユーザーの電子メールで検索し、ロシアのスパイと疑われる人物を捕まえたとも伝えられています。
Microsoft Graph は、Microsoft 365 サービス全体に保存されているデータへのアクセスを提供する API であり、スヌープはこのツールを使用して、これらの検索用語に一致する電子メールの内容を盗み出し、資格情報やその他の機密データを収集しました。
この技術大手は、Storm-2372に起因する今回の攻撃やその他攻撃を引き続き監視し、標的にされたり侵入されたりした顧客に直接通知するとしているが、ユーザーがこの脅威や同様の脅威に対して事前に身を守るために実行できる対策はある。
まず、デバイスコードのフローは絶対に必要な場合にのみ許可します。さらに、デバイスコードのフィッシングが疑われる場合は、ユーザーのリフレッシュトークンを取り消し、条件付きアクセスポリシーを設定してユーザーに再認証を強制することも検討してください。
最後に、金曜日のアップデートで、Microsoft は「Storm-2372 がデバイス コードのサインイン フローで Microsoft 認証ブローカーの特定のクライアント ID を使用するように移行していることを確認した」と述べ、その詳細を上記のリンク先の記事に記載しました。®
