多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA
Trustwave の研究者は多要素認証(MFA)を回避し、Microsoft 365のアカウントへ不正アクセスするフィッシングアズアサービス(PaaS)「Rockstar 2FA」を発見しました。
目次
Rockstar 2FAとは
Rockstar 2FA はそれぞれ 2023 年の初めと終わりに人気を博したサイバー攻撃者向けのフィッシング キット DadSec と Phoenix の進化バージョンとされています。
このサービスは2024年5月以降、5,000以上のフィッシングドメインを設定し、さまざまなフィッシング活動を促進しています。
研究者らは、観察した関連フィッシング キャンペーンでは、正規の電子メール マーケティング プラットフォームや侵害されたアカウントを悪用して、悪意のあるメッセージをターゲットに拡散していると述べています。
また、Microsoft ユーザー アカウントはこれらのキャンペーンの主なターゲットであり、ターゲット ユーザーは Microsoft 365 のログイン ページを模倣するように設計されたランディング ページにリダイレクトされます。
Rockstar 2FAの機能
Telegram のRockstar 2FAに関するマーケティング投稿では、以下のように様々な機能が紹介されています。
・2 要素認証 (2FA) のバイパス
・2FA クッキーの収集
・ボット対策
・複数のログイン ページ テーマ
・ランダム化されたソース コードと添付ファイル
・完全に検出不可能な (FUD) リンク
・Telegram ボットの統合
・ユーザー フレンドリーな管理パネル
2週間のサブスクで200米ドル(日本円で約3万円)
Rockstar 2FA は、2 週間のサブスクリプション サービスで 200 米ドル、2 週間の API 更新サービスで 180 米ドルという低価格で提供されています。また、月単位と 1 回限りのサブスクリプション オプションも用意されています。
画像:Trustwave
Rockstar 2FAの操作画面
画像:Trustwave
Rockstar 2FA によるフィッシングキャンペーンにおける攻撃の全体的なフロー
Rockstar 2FA フィッシングキャンペーンにおける攻撃の全体的なフローを示しています。主な段階は以下の通りです:
1. Email Delivery(メール配信)
- 攻撃者が以下の手法を利用して、悪意のあるリンクやQRコードを含むメールを送信:
- 侵害されたアカウント(すでにハッキングされたアカウントを悪用)
- スパムツール(大量のメール送信を可能にするツール)
- 正当なプラットフォームの悪用(信頼性のあるサービスを悪用してフィルターを回避)
2. Initial Vectors(初期ベクター)
- メール内のリンクや添付ファイルからターゲットを誘導:
- リンク(クリックすると次のステージへ)
- QRコード(スキャンすると悪意のあるページへ誘導)
- ドキュメント添付(悪意のあるHTMLやPDFファイル)
3. Link Staging(リンクの中継)
- クリック後、被害者は中間的なステージにリダイレクトされる:
- リダイレクタ(リンク先を経由するための中継)
- 中間サイト(フィッシングサイトに到達する前の中継点)
4. Landing Page(ランディングページ)
- 最終的に、以下の要素を持つランディングページに到達:
- Cloudflare Turnstile(ボット対策で自動解析を妨害)
- AiTM サーバー通信(攻撃用サーバーと通信して次のページを取得)
- フィッシングログインページ(ユーザーの資格情報を盗む)
- デコイページ(一部ユーザーには偽のウェブページを表示)
5. AiTM Account Compromise(アカウント乗っ取り)
- フィッシングページで収集された情報を使用して以下の攻撃が可能:
- 認証情報の窃取(ログインIDとパスワードを盗む)
- セッションクッキーの盗難(多要素認証(MFA)をバイパス)
- アカウントの乗っ取り(ターゲットアカウントへの完全なアクセスを取得)
画像:Trustwave
フィッシングメッセージの例とテンプレート
このキットを利用する事により脅威アクターは、さまざまなテンプレートとテーマを利用して、被害者に対するソーシャル エンジニアリング攻撃を成功させます。以下は、フィッシング メッセージでよく見られるテーマです。
- ドキュメントとファイル共有の通知
- 電子署名プラットフォームをテーマにしたメッセージ
- 人事および給与関連のメッセージ
- MFAの通知や設定依頼
- IT部門の通知
- パスワード/アカウント関連のアラート
- ボイスメール通知
これらのメッセージは、QR コード、正規の短縮サービスからのリンクの組み込み、PDF 添付ファイルなど、さまざまなブロック回避手法を利用しているとのことです
画像:Trustwave
フィッシングの遷移ページは遷移前にターゲットを選別
この PaaS からのフィッシング キャンペーンは、AiTM サーバーの応答に応じて、フィッシング ページまたは自動車をテーマにしたサイトにつながります。
ランディング ページの訪問者は事前にフィルタリングされており、訪問者がボット、セキュリティ研究者、または一般的に対象外のターゲットであると判断された場合、代わりに前述の無害な自動車をテーマにしたおとりページにリダイレクトされます。
このターゲットの選別にはCloudflare Turnstile が悪用されています。
ターゲット選別でCloudflare Turnstile を悪用
Cloudflare Turnstile は、ボットなどの望ましくない訪問者から Web サイトを保護するために設計された無料サービスです。このサービスは 2023 年 9 月に一般公開されました。脅威アクターは、フィッシング ページの自動分析を阻止するためにこのサービスを使い始めています。
Cloudflare Turnstile は、CAPTCHA機能によるBot判別のほかに、IPレピュテーション機能により訪問者のIPアドレスやブラウザの詳細、位置情報を収集して動的に解析する事ができ、脅威アクターはこの機能を悪用しています。
2024 年 5 月以降、urlscan.io では、URL 形式「https?:\/\/{URLDOMAIN}\/{RANDOM_4-5_LETTERS}\/」に従うこのキャンペーンに関連するヒットが 3,700 件以上発生しています。この傾向は 2024 年 6 月から 8 月にかけて大幅に増加し、その後もヒット数の増加が続いています。
画像:Trustwave
Cloudflare Turnstileのチャレンジに合格するとフィッシングページへ遷移し、
この ページの JavaScript は、AiTM サーバーの訪問者の評価に基づいて、フィッシング ページまたは車をテーマにしたおとりページのいずれかを復号化して取得します。
フィッシングorおとりページへのリダイレクト
フィッシング ページのデザインは、HTML コードに多数の難読化が施されているにもかかわらず、模倣されているブランドのサインイン ページに非常によく似ています。
構文ベースの難読化もページに適用されています。「サインイン」文字列には、フォント サイズがほぼゼロの隠し単語が挿入されています。
画像:Trustwave