読メモ:Microsoft Digital Defense Report 2024 の中での AiTM 記載箇所
Fraud: Phising
QR code phishing
”During April and May 2024, there was a surge in phishing attempts targeting Microsoft Teams users. The attackers created a new tenant and registered
a domain specifically for this attack. These attacks often included QR codes within the messages, which, upon scanning, directed users to AiTM
phishing sites. Common themes in these phishing campaigns involved impersonating Office, Microsoft, or Security services.”
2024年 4月から 5月にかけて、Microsoft Teams ユーザーを狙ったフィッシングが急増しました。攻撃者は新しいテナントを作成し、攻撃のためにわざわざドメインを登録しました。これらの攻撃メッセージの中に QR コードが含まれていることもよくありました、このQRコードをスキャンすると、ユーザーはAiTMフィッシング・サイトに誘導する。これらのフィッシング・キャンペーンの共通点は、Office、Microsoft またはセキュリティサービスを装ったものでした。
Business email compromise (BEC)
"MFA tampering post AiTM attack: After compromising a user account, the attacker attempts to add an additional device for MFA, such as a phone number to approve two-factor authorization or registering a new device with
an authenticator, to maintain ongoing access."
AiTM 攻撃後の MFA 改ざん:ユーザー・アカウントを侵害した後、攻撃者はMFA 用のデバイスを追加しようとします。例えば、認証するための電話番号、オーセンティケーターデバイスや、アクセスを継続するために必要なデバイスなどです。
Identity and social engineering: Insights on identity attacks and trends
Threat actors are bypassing MFA, using innovative AiTM phising attacks and token theft
”As we highlighted last year, as organizations strengthen their authentication protocols with MFA, threat actors are pivoting to AiTM phishing attacks and to token theft. Token theft occurs after a user successfully authenticates and receives a valid token. The attacker then steals the token from the victim’s device, from compromised routers or proxies, or from application or network logs. The text "Although token theft results in far fewer identity compromises than password attacks, our detections indicate incidents have grown to an estimated 39,000 per day." is highlighted.
compromisesThe text "Although token theft results in far fewer identity compromises than password attacks, our detections indicate incidents have grown to an estimated 39,000 per day." is highlighted.
indicateThe text "Although token theft results in far fewer identity compromises than password attacks, our detections indicate incidents have grown to an estimated 39,000 per day." is highlighted.
perThe text "Although token theft results in far fewer identity compromises than password attacks, our detections indicate incidents have grown to an estimated 39,000 per day." is highlighted.
Moreover, over the last year we’ve seen a 146% rise in AiTM phishing attacks, which occur when attackers trick users into clicking a link and completing MFA on the attacker’s behalf.
Actionable Insights
Retire passwords in favor of phishing-resistant, passwordless authentication methods such as passkeys.
Require all users to run on their devices as standard users and not as administrators.
Only allow access from managed and compliant devices.
Mitigate AiTM and token theft attacks with policies that require interactive strong authentication when anomalies are detected.
Use access policies to require token protection and prevent access from untrusted environments.
To reduce time to mitigation and increase detection capability, adopt applications that support continuous access evaluation”
昨年取り上げたように、組織が MFA で認証プロトコルを強化するにつれ、脅威者は AiTM フィッシング攻撃やトークン盗難に軸足を移しています。トークン窃盗は、ユーザが認証に成功し、有効なトークンを受け取った後に発生します。攻撃者はその後、被害者のデバイス、侵害されたルーターやプロキシ、またはアプリケーションやネットワークのログからトークンを盗み出します。
トークン窃盗による個人情報の漏えいはパスワード攻撃よりもはるかに少ないものの、当社の検出結果によると、インシデント件数は1日あたり推定 39,000件に増加しています。
さらに、攻撃者がユーザーを騙してリンクをクリックさせ、攻撃者に代わって MFA を完了させる AiTM フィッシング攻撃が、昨年 1年間で 146%も増加しています。
アクションが必要なこと
1. パスワードは廃止し、パスキーのようなフィッシングに強いパスワード不要の認証方法を採用する
2.ユーザーにデバイスの管理者権限は与えない
3.組織によって管理されて、コンプライアンス基準を満たすデバイスのみからアクセスさせる
4.異常が検出された場合には、対話型の強力な認証を要求するポリシーを適用し、AiTM攻撃やトークン盗難攻撃を軽減します。
5.アクセスポリシーを使用して、トークン保護を要求し、信頼されていない環境からのアクセスを防止する。
6.攻撃を食い止めるまでの時間を短縮し、検知能力を高めるには、継続的にアクセス評価をサポートするアプリケーションを採用する。
Identity and social engineering: Identity attacks in perspective
Identity and social engineering: Social engineering "next generation"
Teams and Skype phising
"Beginning in July 2023, threat actors began sending Teams users attachments hosted on an actor-controlled SharePoint tenant. In these cases,
the target tenant had been configured to allow messages from users outside of the organization. In April 2024, Midnight Blizzard masqueraded as Microsoft Security on Teams, providing targets a link for AiTM credential harvesting. That month and the next, attackers impersonated Microsoft Office,
Microsoft Security, or Microsoft in general to phish Teams users, often with QR codes that directed users to AiTM sites. In some cases, attackers had already obtained credentials through password spray attacks and sent a two-factor authentication request via Teams, prompting the target to provide the number in the authentication app. A sense of urgency was the key in these attacks since the tokens were valid only for a few minutes.
From April onwards, there was an uptick in social engineering attacks through Teams. Attackers posed as Help Desk or IT support staff and persuaded users
to establish remote monitoring and management (RMM) connections with the attacker’s system, leading to ransomware incidents. In all these Teamsrelated instances, the attacks were conducted through one-on-one conversations, originating from newly created attacker-owned tenants.
SharePoint was frequently utilized by the attackers as the preferred platform for hosting malicious files."
2023年 7月以降、脅威アクターが管理する SharePoint テナント上でホストされた添付ファイルを Teams ユーザーに送信する事例が発生しました。これらのケースでは、ターゲットテナントは組織外のユーザーからのメッセージを許可するように設定されていました。2024 年 4 月、Midnight Blizzard は Teams 上で Microsoft Security になりすまし、AiTM クレデンシャルハーベスティングのためのリンクをターゲットに共有しました。同月とその翌月、攻撃者は Microsoft Office、Microsoft Security、または Microsoft 関係者になりすまし、Teams ユーザーをフィッシングしました。場合によっては、攻撃者はすでにパスワードスプレー攻撃によって認証情報を入手しており、Teams経由で2要素認証リクエストを送信し、ターゲットに認証アプリの番号を入力するよう促していまし。トークンは数分間しか有効でないため、これらの攻撃では危機感覚 (A sense of urgency) が鍵となった。
4月以降、Teams を介したソーシャル・エンジニアリング攻撃が急増しています。攻撃者はヘルプデスクや IT サポートスタッフを装い、ユーザーを説得して攻撃者のシステムとリモート監視・管理(RMM)接続を確立させ、ランサムウェアのインシデントを引き起こしました。これらの Teams 関連の事例ではすべて、攻撃者が所有するテナントを起点とした 1対1 の会話を通じて攻撃が行われていました。攻撃者は、悪意のあるファイルをホスティングするための優先プラットフォームとして SharePoint を頻繁に利用していました。
AiTM credential phising
"Credential phishing attacks with AiTM capabilities are continually observed by Microsoft through daily, high-volume email campaigns sent from phishingas-a-service (PhaaS) platforms."
AiTM機能を使用したクレデンシャル・フィッシング攻撃は、フィッシング・アズ・サービス(PhaaS)プラットフォームから毎日大量に送信される電子メール・キャンペーンを通じて、マイクロソフトによって継続的に観測されている。
"The use of HTML attachments to deliver URLs or phishing pages to recipients continued to be a popular tactic among phishing actors in the last year. The attached HTML file may contain a URL that sends the recipient to a phish landing page or it may contain code that reaches out to an actor-controlled server to download a phishing page and present it to the recipient upon opening the file. HTML files may also be contained within ZIP files, Microsoft Office files, additional—sometimes multiple—email files attached to the initial email, or other file types to evade detection.
PDF attachments also continued to be a popular vector for phishing. Usually, the PDF contained a URL leading to a phish landing page, likely through a multi-step process including a redirection URL through a legitimate or abused service and/or a captcha check. Occasionally, the link went straight to a phishing domain. Like the HTML vector, a PDF file may be included within multiple layers of other email files, ZIP files, other filetypes or may be hosted on a legitimate filesharing service accessed through a URL provided in the original email."
HTMLの添付ファイルを使ってURLやフィッシング・ページを受信者に送りつけるという手口は、昨年もフィッシング詐欺の手口としてよく使われた。添付されたHTMLファイルには、受信者をフィッシング・ランディング・ページに誘導するURLが含まれている場合もあれば、ファイルを開くとフィッシング・ページをダウンロードし、受信者に提示するためにアクターが管理するサーバーにアクセスするコードが含まれている場合もあります。HTMLファイルはまた、ZIPファイル、Microsoft Officeファイル、最初のEメールに添付された追加ファイル(場合によっては複数のEメールファイル)、あるいは検知を逃れるための他のファイルタイプの中に含まれていることもある。
PDFの添付ファイルもまた、フィッシングの手段として引き続きよく使われています。通常、PDFにはフィッシング・ランディング・ページにつながるURLが含まれており、正規または悪用されたサービスを経由するリダイレクトURLやキャプチャ・チェックを含む複数のステップを経ている可能性が高い。時には、リンクがそのままフィッシング・ドメインに飛ぶこともありました。HTMLベクターと同様に、PDFファイルは他の電子メールファイル、ZIPファイル、他のファイルタイプの複数のレイヤーの中に含まれている可能性があります。