サイバー脅威の分析:「Greatness」サービスとしてのフィッシング(PhaaS)

Vade

6月 15 2023

1 分で読める

TalosBleepingComputerは、2023年5月10日に、ハッカーがより簡単にMicrosoft 365のフィッシング攻撃をしかけられるようになるGreatnessと呼ばれる未報告のサービスとしてのフィッシング(PhaaS)の提供に関する記事を公開しました。Vadeの脅威インテリジェンスおよび対応センター(TIRC)はインターネットソースを分析し、Greatnessのフィッシングページやその他の悪意のあるリソースが組み込まれたPhaaSツールの詳細を明らかにしました。

この記事では、サイバー脅威の分析結果を検証します。

サイバー脅威の分析:侵害の兆候

プロジェクトSEC-1275-1TalosのGitHubリポジトリ IOCs/2023/04/は、Greatnessに関連する多くの侵害指標(IoC)を提供します。

最初の注目すべき要素は、Greatnessの現在のバージョンに関連しているものであり、悪意のあるPHPページへのパスの一部を成しています: /admin/js/mj.php。このオブザーバブルから、オンラインのマルウェア分析レポートを取得できます。

クラウド版JOESandboxからの分析

私たちは、JOESandbox CloudからBenefit.htmlと名付けられた悪意のあるHTMLファイルに関するレポートを発見しました。その分析は7か月前(2022年11月10日)に完了しています。

このレポートは、Greatnessといくつかのフィッシングキットが悪意のあるMicrosoft 365の認証ページをターゲットのブランドでカスタマイズしていることを示しています。以下の例は、分析および科学研究所の会社の認証ページのスプーフィングです。

 

脅威の分析--カスタマイズされた認証フォーム(クラウド版JOESandboxのスクリーンショットから)

カスタマイズされた認証フォーム--クラウド版JOESandboxのスクリーンショット

 

このスキャンでは、侵害されたWebサイトviajesparaella[.]comの悪意のあるURLが以下にリストされています。

hxxps://viajesparaella[.]com/black/host6/j.php

hxxps://viajesparaella[.]com/black/host6/admin/js/mj.php?ar=cGRm

 

Benefit.htmlの静的ファイル情報について、ファイル内容のプレビューは次のとおりです。

Capture d’écran 2023-06-14 à 15.09.34

 

【関連コンテンツ】:新たなフィッシング攻撃はGoogle翻訳とIPFS分散型ネットワークを利用する

JavaScriptのソースコードは、JavaScript Obfuscatorなどのツールによって難読化されています。9か月前、このスニペットはWebサイトのOneCompilerのファイルに貼り付けられました。このスニペットがファイルコンテンツのプレビューに対応するかどうかがわからないままサイバー脅威の分析を続けました。

そして、このプロファイルに対応する2つのコードスニペットが取得されました。

Cyberthreat analysis – Source code snippets

ソースコードのスニペット

チェックリストをダウンロードする

 

スニペット3yb86jcy5では、base64でエンコードされた文字列をデコードできます。

インプット:aHR0cHM6Ly9zaXhlcy5wcm8vbWFpbi9tai5qcw

アウトプット(無効化済み):hxxps://sixes[.]pro/main/mj[.]js

 対応するmj.jsファイルをオンラインで取得しました。

 

Cyberthreat analysis – mj.js file - 25/07/2022 - URLScan.io

 

mj.js file - 25/07/2022 - URLScan.io

 

mj.jsファイル(新しいバージョン)のJavaScriptのソースコードでは、被害者が偽のMicrosoft 365のログインページに事前に入力する前に、請求書やMicrosoft Outlook、PDFドキュメント、Wordドキュメントにアクセスしていると信じ込ませるためのいくつかの罠をフィッシング犯に提供するフィッシングキットの存在を確認できます。

Capture d’écran 2023-06-14 à 15.13.13

Cyberthreat analysis – Blurred invoice background

ぼやけた請求書の背景

 

Cyberthreat analysis – Blurred Word, PDF, Microsoft Outlook backgrounds

ぼやけたWord、PDF、Microsoft Outlookの背景

スニペット3y9cvut8tについては、base64でエンコードされた文字列をデコードしました。

インプット: aHR0cHM6Ly93d3cudHVudml0YS5jb20vb2xkL3dwLWNvbn

RlbnQvcGx1Z2lucy9zbDMzcGVyL3NlY3V yZS9qLnBocA==

アウトプット(無効化済み):hxxps://www[.]tunvita[.]com/old/wp-content/plugins/sl33per/secure/j[.]php

インプット: bWV0cEBbcmVtb3ZlZF0uY29t

アウトプット:metp@[removed].com

インプット: aHR0cHM6Ly93d3cudHVudml0YS5jb20vb2xkL3dwLWNvbnRlbnQvcGx1Z2lucy9zbDMzcGVyL3NlY3Vy ZS9qLnBocA==

アウトプット(無効化済み): hxxps://g-host88[.]herokuapp[.]com/mj[.]js

上記の最後の解読から、このスニペットは投資銀行をターゲットに作成されたものだと考えられます。悪意のあるスクリプトmj.jsは、プラットフォーム上のg-host88という名のアプリケーションを介して、プラットフォームHerokuから取得されました

 

Cyberthreat analysis – mj.js file - 21/06/2022 - URLScan.io

 

mj.js file - 21/06/2022 - URLScan.io

 

2つのmj.jsファイルを比較すると、フィッシングキットが定期的に進化していることを示すソースコードの違いがわかります。

Cyberthreat analysis – mj.js files comparison - 25/07/2022 (left) - 21/06/2022 (right) - URLScan.io

mj.js files comparison - 25/07/2022 左)- 21/06/2022 右)- URLScan.io

【関連コンテンツ】:新手のフィッシングキャンペーンはYouTubeのアトリビューションリンクであるCloudflareのCaptchaを悪用する

オンラインサービスURLScan.ioで、疑わしいページj.phpのスキャンが2022年7月8日に完了し、

www[.]tunvita[.]comにホストされました。ただし、スキャンでは404 Not Foundページが返されました。

Cyberthreat analysis – scan result - URLScan.io

スキャン結果-- URLScan.io

 

Greatnessフィッシングキットの管理パネルの証拠はIoCを介して見つけることができます:

Cyberthreat analysis – Greatness admin authentication form

Greatness管理者認証フォーム

 

以下はGreatnessの免責事項の概要です。

Capture d’écran 2023-06-14 à 15.21.55

 

脆弱なCMSの侵害

パスplugins/sl33per/ の部分については、WordPressサイトのハッキングに関連して10か月前にGitHubで実行されたアーティファクトを取得しました。

Cyberthreat analysis – hack artifacts - plugins/sl33per/

アーティファクトに不正侵入する--plugins/sl33per/

 

フォレンジック調査の手順をまとめたものは、Twitterのこのスレッドで入手できます。

Cyberthreat analysis – hack artifacts - plugins/sl33per/

アーティファクトに不正侵入する--plugins/sl33per/

 

Index.phpの冒頭の概要には、「Hacked By DR.D3MO5」というタイトルが表示されます。

Capture d’écran 2023-06-14 à 15.24.56

 

オンラインでは、WordPressサイトをハッキングした可能性のあるバングラデシュの侵害者のシグネチャを見つけることができます。

Capture d’écran 2023-06-14 à 15.25.27

 

以下は、フォルダwp-content/plugins/sl33per に含まれているファイルです。

Cyberthreat analysis – list of files in /wp-content/plugins/sl33per/

/wp-content/plugins/sl33per/内のファイルのリスト

 

2022年7月に、@audiobridgemattが、詳細に踏み込まずに攻撃者のシグネチャのみに基づいて分析した攻撃は、「United Bangladeshi Hackers」(UBH TEAM)によるものである可能性があるようです。

そのチームがまだ活動しているかどうかは分かりません。WebサイトZone-H上で公開されたUBHチームの最後のレポートは2019年8月のものです。さらに、誰でも他の脅威アクターからの悪意のあるコードを再利用できるため、攻撃の原因を正確に特定することは多くの場合困難です。

私たちは、収集されたアーティファクトの中に、悪意のあるWordPressのプラグインであるUBH CSU(Web シェル)とWebShellOrb 2.6Webシェルを発見しました。

WordPress攻撃に関する@audiobridgemattのツイートは有益です。これらは、コンテンツ管理システムに関連のあるセキュリティリスクを明らかにします。

 

Cyberthreat analysis – @audiobridgematt tweets – 1@audiobridgematt tweets – 1

 

Cyberthreat analysis – @audiobridgematt tweets - 2

@audiobridgematt tweets - 2

 

以下は、ファイル/wp-content/plugins/sl33per/index.phpの内容のプレビューです。

Capture d’écran 2023-06-14 à 15.29.25

 

PHPのソースコードは、文字列処理(strrev)、エンコード(base64、rawurlencode)、暗号化(rot13)、および圧縮(gzinflate、gzuncompress)を連続して組み合わせて使用することで隠せます。

Cyberthreat analysis – deobfuscation processing

難読化解除処理

 

以下は、難読化が解除されたPHPのソースコードの概要です。

Capture d’écran 2023-06-14 à 15.31.28

 

以下は、ファイル/wp-content/plugins/sl33per/silco.phpのコンテンツの最初の行です。

Capture d’écran 2023-06-14 à 15.32.01

以下は、ファイル/wp-content/plugins/sl33per/silco.phpのコンテンツの冒頭部分です。

Capture d’écran 2023-06-14 à 15.32.35

 

サイバー脅威の分析:侵害されたWebサイトはさまざまなフィッシングキャンペーンに使用されます

TalosのIoCから、サイバー脅威の分析で、いくつかの侵害されたWeb サイトが他の詐欺やフィッシングキャンペーンに使用されていることが確認できます。

Cyberthreat analysis – phishing campaign spoofing a French bank

フランスの銀行をスプーフィングしたフィッシングキャンペーン

 

Cyberthreat analysis – French pending package scam

フランスでの小包配達状況追跡詐欺

サイバー脅威分析の結論

Talosによって報告されたPhaaSサービスであるGreatnessは、少なくとも 2022年6月から存在しています。Talosが説明しているように、GreatnessはMicrosoft 365の認証システムのプロキシとして機能し、「中間者」攻撃をしかけて被害者の認証情報やCookieを盗みます。Greatnessの詳細については、Talosの脅威に関する報告をご一読されることをお勧めします。

また、統合されたサードパーティソリューションを導入してMicrosoft 365のメールセキュリティを強化することをお勧めします。Vade for M365は、AIを活用し、人によって強化され、MSP向けに作られた協調型メールセキュリティソリューションです。

チェックリストをダウンロードする