サイバー犯罪者は、多要素認証 (MFA) を使用してエグゼクティブ アカウントを乗っ取ることが増えています。 これは、Proofpoint の IT セキュリティ専門家が発見したことです。 過去 100 か月間で、サイバー犯罪者が大手企業の上級幹部のクラウド アカウントにアクセスできる事件が XNUMX% 以上増加しました。
合計100万人以上の従業員を抱える世界中の1,5社以上の企業が影響を受ける。 犯罪者は攻撃に EvilProxy を使用しました。 これは、攻撃者が MFA で保護された資格情報とセッション Cookie を盗むことを可能にする、リバース プロキシ アーキテクチャを備えたフィッシング ツールです。
攻撃者はMFA保護をバイパスします
Proofpoint の専門家は、これらの新たな攻撃を次のように評価しています。「従業員の資格情報はサイバー犯罪者によって非常に人気があり、企業の貴重な情報や機密情報やユーザー アカウントへのアクセスを提供する可能性があります。 一般に資格情報はさまざまな攻撃ベクトルを提供しますが、すべての資格情報が同じ価値があるわけではありません。 調査によると、犯罪者は特定の部門や部門をターゲットにすることがよくあります。 その際、多要素認証を覆すなど、方法や技術を常に開発する必要があります。
一般に信じられていることに反して、MFA は高度なクラウドベースの攻撃に対する万能薬ではありません。 悪意のある攻撃者は、一度侵入すると、検出されずに組織の周囲に隠れ、自由自在に高度な攻撃を仕掛けることができます。 既製の MFA バイパス フィッシング キットは現在どこにでも普及しており、技術的知識のない犯罪者でもフィッシング キャンペーンを開始し、従業員を騙してアカウントの資格情報を放棄させることができます。」
リバースプロキシの悪用
MFA の使用の増加により、このセキュリティ層を回避するのに役立つフィッシング キットやツールが急増しています。 サイバー犯罪者は、EvilProxy などの Adversary-in-the-Middle (AitM) フィッシング キットを使用して、認証情報やセッション Cookie をリアルタイムで盗むことが増えています。
EvilProxy がフィッシング ツールとして有効であることはよく知られています。 しかし、Proofpoint の専門家は、ビジネス電子メール侵害 (BEC) やアカウント乗っ取り (ATO) などのリスクと潜在的な結果に対する IT セキュリティ リーダーの認識に憂慮すべきギャップがあることを特定しました。
フェーズ 1: EvilProxy を使用したフィッシング
365 月初旬以来、Proofpoint の専門家は、EvilProxy を使用して数千の Microsoft 2023 ユーザー アカウントを攻撃するキャンペーンを監視してきました。 このキャンペーンの総量は驚異的です。120.000 年 XNUMX 月から XNUMX 月にかけて、約 XNUMX 件のフィッシングメールが世界中の数百の標的組織に送信されました。
攻撃のフィッシング段階で、犯罪者は XNUMX つの主な手法を使用しました。
- ブランドのなりすまし: 送信者は信頼できるサービスやアプリケーションになりすます。 B. Concur Solutions、DocuSign、Adobe。
- スキャンのブロック: 攻撃者は、サイバー セキュリティ スキャン ボットに対する保護を使用して、セキュリティ ソリューションによる悪意のある Web サイトの分析を困難にしました。
- 多段階の感染連鎖: 攻撃者は、オープンにアクセスできる正規のリダイレクトを介してトラフィックをリダイレクトします。
自動スキャン ツールから電子メールを隠すために、攻撃者は特別な電子メール エンコーディングを使用し、ハッキングされた正規の Web サイトを使用して PHP コードをアップロードし、特定のユーザーの電子メール アドレスを復号します。
ステージ 2: アカウントの侵害
ターゲットとなるユーザーのリストには、多くの高レベルのターゲットが含まれます。 B. 大手企業のマネージングディレクター、コーポレートディレクター、Cレベルのエグゼクティブおよび副社長。 これらの個人は、機密データや資産にアクセスできる可能性があるため、犯罪者によって特に評価されます。 侵害された数百人のユーザーのうち、約 39 パーセントは上級管理職 (「C レベル」) の従業員で、そのうち 17 パーセントは CFO、9 パーセントは社長と CEO でした。 攻撃者は下位レベルの管理にも関心を示しており、資産や機密情報にアクセスできる従業員に重点を置いています。
フェーズ 3: 侵害後の悪用
攻撃者が被害者のアカウントにアクセスすると、被害者のクラウド環境に侵入します。 攻撃者は複数の機会に、ネイティブ Microsoft 365 アプリケーションを使用して MFA 操作を実行しました。 攻撃者は「My Sign-Ins」を使用して独自の多要素認証方法を追加し、侵害されたユーザー アカウントへの永続的なアクセスを提供することができました。 彼らは、メッセージとコードを含む認証アプリを介した方法を好みます。
詳細は Proofpoint.com をご覧ください
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。