tos-akibaのブログ

主に Microsoft 365 Security について

大量の AiTM キャンペーンを可能にするフィッシングキット

AiTM フィッシング攻撃に関する詳細の記事です。
DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit - Microsoft Security Blog

 

AiTM フィッシング攻撃は、リバースプロキシ機能を中間に置いて多要素認証を回避し不正アクセスを行う攻撃であり増加傾向にあります。
DEV-1101 とは、 Microsoft が追跡している脅威アクターに一時的に付けている名称です。
この DEV-1101 は、フィッシングアクティビティの設定と起動を自動化し、攻撃者にサポートサービスを提供する AiTM フィッシングキットを 2022年5月から提供開始しました。
6月には月額 100ドルでオープンソースになることを発表、その後の利用が増加し、12月には 300ドル、VIP ライセンスは 1,000ドルと価格を引き上げました。
それだけ、このキットが使われた攻撃が増加していたと思われます。

上記リンク先の記事では、フィッシングシーケンスの詳細が説明されています。
Microsoft のサインイン画面が表示されるので、ここで URL が不正である事に気付くにはかなり注意が必要です。

 

Microsoft 365 Defender は、AiTM フィッシング攻撃に関連する疑わしいアクティビティやセッション Cookie 盗難を検出します。
記事によると、以下がお勧めされています。
・ Azure AD のセキュリティ既定値群をベースラインにする
・ 条件付きアクセスで、デバイス状態や信頼できる IPアドレスなどのポリシーを活用
・ 継続的なアクセス評価を実装し、トークンを更新
・ SmartScreen で Microsoft Edge を保護して利用
・ Defender for Office 365 で悪意あるメールや URLリンク、添付ファイルを検出しブロック
・ 疑わしいアクティビティを継続的に監視

またさらに、Microsoft Defender for Cloud Apps による検出や、Microsoft Sentinel のハンティング クエリも多数紹介されています。