Kali365フィッシング、OktaとMAX Messenger標的活動を確認

Kali365フィッシング、OktaとMAX Messenger標的活動を確認

Kali365と呼ばれるPhishing-as-a-Service（PhaaS）プラットフォームが、Microsoft 365関連の認証情報窃取活動に加え、Okta SSOおよびロシアのMAX Messengerを対象としたフィッシング活動を展開していることが確認された。

分析によると、攻撃インフラは中央管理型の構成を採用しており、複数のブランドやサービスを装ったフィッシングページを運用している。また、リアルタイムでのトークン監視機能や地域ごとに調整されたキャンペーン機能も確認されている。

攻撃者は利用者を正規の認証フローに類似した画面へ誘導し、認証プロセスを進行させる手法を利用している。研究者によると、一部ケースではEntra IDアクセストークンの取得を目的としたフィッシングフローが確認されており、認証情報ではなくセッション情報を標的とする構成が含まれていた。

また、取得されたトークンを利用することで、認証済みセッションへのアクセスが可能となるケースも報告されている。

リアルタイム運用機能と標的範囲の拡大

最新の分析によると、Kali365はリアルタイムC2パネルを利用した運用機能を備えている。攻撃インフラでは、フィッシングページが「securehubcloud」ドメイン上で運用されており、利用者の認証プロセス進行状況を管理できる構成が確認されている。

また、TLS証明書のフィンガープリントやHTTPレスポンスの特徴を利用したインフラ管理手法も報告されている。研究者によると、複数のサービスを装ったフィッシングページが運用されており、対象サービスごとに異なる認証フローが用意されていた。

さらに、Kali365ではロシアのデジタルサービスであるMAX Messengerを対象とした活動も確認されている。分析では、利用者がフィッシングページ上でOTPを入力した場合、その情報が攻撃フローの一部として利用される構成が確認された。

今回の事例は、Microsoft 365やOktaに加え、MAX Messengerなど複数のサービスを対象としたPhaaS運用事例として報告されている。研究者らは、リアルタイム管理機能や複数ブランドを利用した運用手法について継続的な分析を進めている。