Sekoiaは10月7日(現地時間)、「Mamba 2FA: A new contender in the AiTM phishing ecosystem - Sekoia.io Blog」において、中間者攻撃(AiTM: Adversary-in-The-Middle)を実行するフィッシングキット「Mamba 2FA」を発見したとして、その分析結果を伝えた。このフィッシングキットはMicrosoftアカウントの認証情報とCookieを窃取可能だという。
Mamba 2FAの概要
Sekoiaによると、Mamba 2FAはTelegram上でフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)として販売されているフィッシングキットだという。月額250ドルと比較的安価で提供されており、2023年11月以降のフィッシングキャンペーンにて使用されたことが確認されている。
被害者の誘導には、メールの添付ファイルやストレージサービスから配布されるHTMLファイルを使用する。HTMLファイルは無害なコンテンツの中に悪意のあるJavaScriptを含み、表示するとフィッシングサイトにリダイレクトされる。フィッシングサイトはOneDrive、SharePoint、ボイスメールまたは通常のMicrosoftサイトを模倣したサインインページを表示する。
Mamba 2FAには次の機能があり、一部の多要素認証(MFA: Multi-Factor Authentication)を回避してMicrosoftアカウントの認証情報とCookieを窃取する。
- ワンタイムパスワードやアプリの通知など、フィッシング耐性のない多要素認証を中間者攻撃により処理(回避)できる
- Entra ID、Active Directoryフェデレーションサービス(AD FS)、サードパーティーのシングルサインオン(SSO: Single Sign On)、コンシューマー向けMicrosoftアカウント(Outlook、OneDriveなど)をサポートする
- エンタープライズアカウントの場合、動的にカスタムログインページ(ロゴ、背景画像)を反映できる
- フィッシングサイトはセキュリティ企業による自動検出をブロックする
対策
Mamba 2FAの管理者はフィッシングサイトのURLを約1週間で変更することが確認されている。そのため、セキュリティソリューションによるブラックリスト方式の保護は機能しないと考えられる。
また、中間者攻撃に使用するリレーサーバも2024年10月以降は商用プロキシーサーバ「IPRoyal」を経由するようになり、直接は検出できないとされる。Sekoiaは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)にてリレーサーバのIPアドレスを公開しているが、これらを利用しての防御は効果がないと推測される。
これらのことからこの攻撃を回避するために、Microsoftアカウントを保有するユーザーにはフィッシングメールなどを通じて配布されるHTMLファイルを開かないことが推奨される。何らかの事情で開く必要がある場合は、悪意のあるJavaScriptが含まれていないか徹底的に調査するか、または送信元ユーザーに安全な手段で確認することが望まれている。