みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

SharePointを悪用して検知を回避するフィッシング攻撃

最近本ブログでもお馴染みになってきた、Cofenseのブログにて、興味深い攻撃が紹介されていました。

https://cofense.com/phishing-emails-using-sharepoint-slip-past-symantecs-gateway-attack-banks/

本攻撃の最終目的はOffice365の認証情報獲得なのですが、そのフィッシングサイトまでの流れが、企業でよく実装されていそうなシステムの流れになっています。

まず、攻撃者は以下のようなフィッシングメールからユーザーにアクセスを誘います。

特徴的なのは、SymantecのATPというサービスを使っている際に変換される、URLラッピング後のURLになっている点です。

https://cofense.com/wp-content/uploads/2019/08/figure-1-977x675.jpg

ちなみにこのラッピングは、仮にATPに契約していなくても変換してリダイレクトしてくれているっぽいですね。

※個人調べ

リダイレクト先はMicrosoftが提供する侵害されたSharePoint上のOneNoteになっており、そこにはさらにファイルのリンクが示されています。

https://cofense.com/wp-content/uploads/2019/09/Figure4-1168x1200.jpg

そして、そのリンクをクリックするとOneDriveを模したフィッシングサイトにリダイレクトされ本画面からはOffice365の認証情報を窃取しようという試みが見受けられます。

https://cofense.com/wp-content/uploads/2019/08/figure-3-1-1200x1058.jpg

標的型攻撃のような巧妙さとは遠い気がしていますが、いかにもありそうな流れで画面が遷移するので、普通に騙されそうですよね。。。

当該フィッシングサイトは、Exploit Kitを用いて容易に実装出来てしまうとのことなので、攻撃者目線での費用対効果は高いのかなと、思っています。

それにしても、最近Cofenseはよく記事出すな~ 人が増えたんですかね?(笑)