The Hacker Newsは12月16日(現地時間)、「Microsoft Warns of Storm-0539: The Rising Threat Behind Holiday Gift Card Frauds」において、Microsoftが脅威グループ「Storm-0539」の活動が急増していると警告したと報じた。Storm-0539はホリデーシーズンに電子メールやSMSによるフィッシング攻撃を実行し、小売業者を標的としたギフトカード詐欺などを行うとみられている。

  • Microsoft Warns of Storm-0539: The Rising Threat Behind Holiday Gift Card Frauds

    Microsoft Warns of Storm-0539: The Rising Threat Behind Holiday Gift Card Frauds

脅威グループ「Storm-0539」によるフィッシング攻撃の実態

Microsoftによると、Storm-0539は認証情報やセッション情報を窃取するため、中間者攻撃(AiTM: Adversary-in-The-Middle)を可能とするフィッシングサイトへ誘導する悪意のあるリンクを拡散する活動を増やしているという。

この攻撃によりセッション情報を窃取されると、Storm-0539は独自のデバイスを登録して多要素認証(MFA: Multi-Factor Authentication)を回避し、アカウントを侵害するという。

アカウントを侵害されると、特権の昇格とネットワークの横方向の移動が行われる。次にクラウドリソースへアクセスして機密情報を窃取し、詐欺を助長するギフトカード関連のサービスも狙われる。このとき、追加攻撃を目的として電子メール、連絡先の一覧、ネットワーク設定も窃取するとされる。

Microsoftによると、Storm-0539は説得力のあるフィッシング攻撃を行うために、標的となる組織に対して広範囲に渡る偵察を行うという。また、クラウドプロバイダーを熟知しているため、標的組織のクラウドサービスのリソースを活用した攻撃が可能とされる。

「Storm-0539」による攻撃の回避策

このような攻撃から組織を保護するため、組織の経営幹部は最新のフィッシング攻撃に関するトレーニングを従業員に実施し、攻撃を認識、報告できるように体制を強化することが推奨されている。

また、攻撃の検出、横方向の移動を防止するため、高度なセキュリティソリューションの導入を検討することが望まれている。