読メモ:From Cookie theft to BEC - Attackers use AiTM phising sites as entry point to further financial fraud
AiTM フィッシングの動き
AiTM : Adversary-in-the-middle 攻撃では、フィッシングサイトにアクセスしたユーザーからの Http パケットを、攻撃者がなりすまそうとしているターゲットサーバーに振る Web サーバーをデプロイし、セッションを窃取する。従来のフィッシングサイトと異なり偽のサイトを用意する必要がなく、見た目では判別できません。
AiTM のフィッシングツールとして、Evilginx2、Modlishka、Muraena などがあります。
AiTM フィッシングキャンペーンを追跡する
2021年9月以降、M365 Defender の脅威データを使用して、AiTM フィッシングを追跡したところ、これらは Evilgninx2 を使用し、また侵害後の活動の類似点があることなどを確認しました。
攻撃の例
ボイスメールが届いていることを通知するメール
2.添付されたHtmlファイルを開くと、ユーザーはリダイレクトされる
3.フィッシングサイトは、普段りようしているサインインページをプロキシしますので、ユーザーは異変に気づかない。
4.ユーザーが資格情報を入力して認証されると同時に、攻撃者は資格情報を傍受しセッションを窃取
何をすべきか
・条件付きアクセスポリシー
・高度なフィッシング対策ソリューション
・疑わしいアクティビティや異常なアクティビティを継続的に監視する
Microsoft 365 Defender XDR
Microsoft 365 Defender はクロスシグナル機能を活用し、AiTM フィッシングでセッションCookieが窃取された場合、また攻撃者がそのセッションを利用しようとしている際に警告をします。
Microsoft Defender for Office 365
次の電子メールセキュリティアラートを通じて、このフィッシング攻撃に関連するアクティビティを検出します。
・悪意のあるファイルを含むメッセージの削除
・配信後に削除されたキャンペーンからのメールメッセージ
Microsoft Defender for Cloud Apps
・不審な受信トレイ操作ルールの検出
・あり得ない移動
・頻度の低い国からのアクセス
Entra Identity Protection
リスクのあるサインインの検出
・異常なトークン
・見慣れないサインインプロパティ
・セッション Cookie の異常
・匿名の IP アドレス
参考URL:Cookieの盗難からBECまで:攻撃者はAiTMフィッシングサイトをさらなる金融詐欺の入り口として利用しています |Microsoft セキュリティ ブログ