ハッカーがMicrosoftの公式ログインを使用して政府機関にマルウェアを送信

ジャカルタ - マイクロソフトは、OAuth機能を利用して政府機関や公共部門にマルウェアを送信する高度なフィッシングキャンペーンがあると警告しています。パスワードを盗む古典的な攻撃とは異なり、この最新の戦術は、危険なファイルを配布するための入り口として公式のログインページを使用します。

マイクロソフトの公式レポートによると、ハッカーグループはOAuthシステムの正規のリダイレクト機能を悪用しました。OAuth自体は、ユーザーがサードパーティアプリケーションに直接資格情報を共有することなく、信頼できるアカウントを使用してサービスにログインできる認証プロトコルです。設計上、このシステムは安全です。しかし、このキャンペーンでは、欠陥はバグではなく、機能がどのように操作されるかによって生じました。

攻撃者は、非常に説得力のあるように設計された電子メールを送信します。いくつかはMicrosoft Teams会議の録画を装い、他のものはMicrosoft 365パスワードリセット通知を主張し、緊急です。電子メールには、変更されたOAuthパラメータを持つリンクがあります。

犠牲者がリンクをクリックすると、Microsoftの公式ログインページにリダイレクトされます。疑わしい表示はありません。しかし、認証プロセスは意図的にエラーを引き起こすようにトリガーされます。このエラーはリダイレクト機能を有効にし、ユーザーをハッカーが制御するサイトにスムーズにリダイレクトします。

この時点で、攻撃の形が変化しました。被害者はパスワードを再入力するよう求められませんでした。代わりに、彼らは危険なダウンロードファイルを提供するフィッシングサービスとしてのプラットフォームに導かれました。

暴露された1つのケースでは、被害者はショートカットファイルと密輸HTMLコンポーネントを含むZIPアーカイブをダウンロードしました。開くと、ファイルは合法的な実行可能ファイルを呼び出す隠しPowerShellコマンドを実行し、サイドローディング技術を使用して危険なDLLをロードします。最終結果は、攻撃者のコマンドと制御サーバーへのアウトレット接続です。

Microsoftは、OAuthログインページはハッキングされず、公式画面で資格情報の盗難は発生しなかったと強調しています。システムは設計通りに動作します。しかし、ログイン後にユーザーをアプリケーションに戻すことを意図したリダイレクト機能は、マルウェアの配布経路として使用されました。

この攻撃は、フィッシング技術の進化を反映しています。以前は、ユーザーにパスワードを渡すように欺くことに焦点を当てていましたが、現在は、攻撃者が危険なダウンロードで被害者を罠にかけられる前に、公式ログインページへの信頼を利用して安全感を生み出すというより微妙なアプローチです。

テクノロジー企業は、電子メールフィルタリングシステムを強化し、アプリケーションリダイレクトの設定を確認し、高度なフィッシング戦術に関するスタッフ教育を強化するよう組織に促しています。キャンペーンの規模は正確には知られていませんが、攻撃パターンは熟練した計画レベルを示しています。

シングルサインオンと集中型認証がデジタル生産性の支柱である時代に、すべての利便性は、厳格に監視されない場合、操作ツールに変身する可能性があります。サイバー世界は急速に動いており、脅威アクターは、合法なものから有害なものに利用するためにますます創造的であるようです