フィッシングキャンペーンの運営者の悪手が、攻撃で盗まれた資格情報を公開し、Google クエリで公開していた。
チェック・ポイント・リサーチ社とサイバーセキュリティ企業オットーリオ社の専門家が、世界の数千の組織を標的にした大規模なフィッシング・キャンペーンに関する調査の詳細を発表しました。
このキャンペーンは8月から行われており、攻撃者はXeroxのスキャン通知を装った電子メールを使用し、受信者に悪質なHTML添付ファイルを開くように促していました。このトリックにより、攻撃者は Microsoft Office 365 Advanced Threat Protection (ATP) フィルタリングを回避し、1000人以上の企業従業員の資格情報を盗み出すことができました。
専門家は、フィッシングキャンペーンの背後にあるオペレーターがエネルギーと建設会社に焦点を当てていることに気づいたが、簡単なグーグル検索で一般に公開されている攻撃で盗まれたクレデンシャルを誤って公開してしまった。
建設・エネルギー部門を標的としたフィッシング・キャンペーンの運営者が、簡単なGoogle検索で一般に公開されている攻撃で盗まれた資格情報を公開しました。
"興味深いことに、攻撃チェーンの単純なミスにより、フィッシング・キャンペーンの背後にいる攻撃者が盗んだ資格情報を、攻撃者が使用していた数十台のドロップゾーン・サーバにまたがって、公衆インターネットに公開してしまいました。Google で簡単に検索すれば、誰でも、漏洩して盗まれたメールアドレスのパスワードを見つけることができました。
被害者がHTMLファイルをダブルクリックすると、文書内にあらかじめ設定されたメールが入ったぼやけた画像がブラウザで開かれます。
HTMLファイルを起動すると、バックグラウンドでJavaScriptコードが実行され、パスワードを収集し、攻撃者のサーバーにデータを送信し、ユーザーを正規のOffice 365ログインページにリダイレクトします。
フィッシャーは、独自のインフラストラクチャと、盗まれたデータを保存するために使用されるWordPressのウェブサイトを侵害した両方を使用していました。
"悪質なPHPページ(名前は「go.php」、「post.php」、「gate.php」、「rent.php」、「rest.php」)をホストし、フィッシング攻撃の犠牲者からのすべての受信資格情報を処理する数十台の侵害されたWordPressサーバーを発見しました。"と投稿は続きます。
"攻撃者は通常、既存のウェブサイトの知名度が高いため、自社のインフラではなく、侵害されたサーバーを利用することを好みます。評判が広く認知されていればいるほど、セキュリティベンダーによって電子メールがブロックされない可能性が高くなります。
メールはMicrosoftのAzure上にホストされているLinuxサーバーから送信され、PHP Mailer 6.1.5を使用して送信され、1&1のメールサーバーを使用して配信されることが多かった。
また、攻撃者は危険なメールアカウントを介してスパムメッセージを送信し、正当なソースからのメッセージであるかのように見せかけています。
ドロップゾーンのサーバーに送られたデータは、Googleがインデックスを作成できるように、公開されたファイルに保存されました。これは、Googleで簡単な検索をすれば誰でも利用できることを意味します。
盗まれた資格情報~500件のサブセットを分析した結果、被害者はIT、ヘルスケア、不動産、製造業など幅広い対象業界に属していることが明らかになりました。
チェック・ポイントは、その調査結果をGoogleと共有しました。
専門家は、このキャンペーンで使用されたJavaScriptのエンコーディングが、2020年5月に行われた別のフィッシングキャンペーンで使用されたものと同じであることに気づいた。