マイクロソフトがCOVID-19詐欺を使用してOffice 365アカウントをハイジャックした6つ以上のドメインを取得

2019年12月、サイバー犯罪者のグループが、世界62か国の組織を対象とした巧妙なフィッシングキャンペーンを開始しました。彼らの目標は、一部のOffice 365アカウントを乗っ取り、連絡先リストから機密ファイルまで、あらゆるものにアクセスすることでした。マイクロソフトはこの攻撃に気づき、顧客を保護するための措置を講じました。キャンペーンは当初中止されましたが、残念ながら対策は短期間だけ有効であり、ハッカーは別の攻撃の波で戻ってきました。

意外なことに、Microsoftは再び行動を起こし、キャンペーン中に使用されたドメインのいくつかを特定した後、法的措置を申請し、それらの管理を要求しました。 ZDNetが火曜日に公開した裁判所の文書によると、ソフトウェアの巨人は現在、最近まで詐欺師に属していた6つのドメインを制御しています。

これは間違いなく良い知らせですが、裁判所の決定が犯罪者の攻撃を完全に終わらせるかどうか見てみましょう。

COVID-19フィッシング詐欺はOffice 365ユーザーを対象としています

詐欺は、ソーシャルエンジニアリングされた電子メールから始まりました。メッセージには、組織の従業員または信頼できるパートナーがOffice 365ドキュメントを共有していることが記載されており、最初はメールのリンクをクリックすると四半期の財務報告のようなものが表示されると考えられました。しかし、コロナウイルスの大流行の最中に、ハッカーは悪意のあるリンクをCOVID-19関連のビジネスドキュメントに偽装し始めました。

ご想像のとおり、電子メールのリンクからは、Office 365のドキュメントに説明が記載されていませんでした。 ZDNetによると、最初にユーザーをMicrosoftの正規のログインフォームに送り、認証が成功した後、押収されたドメインの1つにリダイレクトしました。

ひねりを加えたフィッシング攻撃

攻撃者の最終的な目標は、ターゲットのOffice 365アカウントを乗っ取ることでしたが、不思議なことに、ログイン資格情報を使用してそれを実行しませんでした。代わりに、Microsoftが現在所有しているドメインでホストされている悪意のあるOffice 365アプリを介してそれを行いました。

特定の組織でのOffice 365の効率的な使用は、サービスの機能またはセキュリティを向上させるさまざまなアプリに依存しており、ユーザーはそれらを自分のアカウントに接続することを知らない人はいません。すべてのOffice 365アプリは、ユーザーのアカウントに接続する前にアクセス許可を要求し、詐欺師の悪意のあるアプリケーションも例外ではありませんでした。アプリのデザインによって作成された正当性の空気にだまされて、詐欺に巻き込まれた被害者は、電子メール、ファイル、連絡先リスト、および設定への多かれ少なかれ無制限のアクセスをサイバー犯罪者に与えました。そして、彼らは自分のパスワードを公開することなくそれを行いました。

これは洗練されたBusiness Email Compromise（BEC）攻撃であり、どれほどのコストがかかるかを想像することさえも困難です。悪意のあるドメインの差し押さえにより、アプリはアクティブでなくなり、キャンペーンは今のところ停止していますが、残念ながら、サイバー犯罪者が新しいドメインを登録し、その活動を更新するのをいつまでも阻止することができるのかを模索しています。

悪意のあるOffice 365アプリは、異常で比較的新しい攻撃ベクトルを表しており、ご覧のように、それは冷酷に効果的です。 Microsoftのサービスを使用する企業や組織は、それを過小評価してはならず、できるだけ早く脅威モデルに含める必要があります。