マルバタイジング、フィッシング攻撃が給与口座を標的に

作者について

Houssem Eddine Bordjiba

Senior Identity Threat Research Engineer

Houssem Eddine Bordjiba is a Senior Identity Threat Research Engineer at Okta, bringing over a decade of expertise in cyber threat intelligence and threat hunting. He focuses on tracking threat actor activities and leading investigations into their motivations, tactics, techniques, and procedures (TTPs). His deep understanding of adversaries' motives and TTPs allows him to provide actionable intelligence that strengthens the defenses of Okta and its customers against evolving cyber threats.

Houssem holds a Master's degree in Information Systems Security (MASc) from Concordia University in Montreal, Canada. Outside of work, Houssem enjoys an active lifestyle, pursuing his passions for soccer, martial arts, and various outdoor activities.

07 5月 2025 読了目安時間: ~

概要

Oktaの脅威インテリジェンスは、2024年8月以降、O-TA-054(別名Payroll Pirates)として知られる金銭目的の攻撃者を積極的に追跡しています。

O-TA-054は、フィッシングキャンペーンを利用して、Oktaの顧客を含むさまざまな業界の組織の従業員を標的にしています。これらのキャンペーンでは、銀行、人事(HR)、従業員報酬Application (アプリケーション)、および政府のセルフサービスWebサイトを装ったおとりが使用されます。これらのフィッシングサイトの配信は、悪意のあるGoogle広告(malvertising)[1]を介して行われます。

O-TA-054の主な目的は、HRシステムや給与関連サービス、失業給付プログラム、医療貯蓄アカウント、退職金アカウントにまたがって、被害者の銀行アカウント情報を操作し、被害者の資金を盗むことです[2]。

2025年4月のキャンペーンにおいて、O-TA-054は、標的組織のOktaサインインウィジェットを模倣したフィッシングページを悪用しました。これにより、攻撃者は認証情報を盗み、従業員アカウントを乗っ取り、Workdayアプリケーションを標的として、給与を不正に振り込むために銀行口座情報を操作することを目的としました。

本アドバイザリでは、観測された戦術、テクニック、手順(TTP)の詳細と、この活発な脅威に関連する侵害指標(IOC)を提供します。

脅威分析

2025年4月のキャンペーンの分析により、悪意のあるフィッシングページをホストするために使用された以下のインフラストラクチャが特定されました。これらのページには、不正なOkta サインインウィジェットが表示されます。

  • 172.67.148[.]2- AS13335 - Cloudflare, Inc.
  • 77.37.76[.]235 - AS47583 - Hostinger International Limited
  • 67.205.29[.]179 - AS26347 - New Dream Network, LLC
  • 147.93.54[.]103 - AS47583 - Hostinger International Limited
  • 178.218.166[.]217 - AS12417 - Plus Hosting Grupa d.o.o.

アカウントの乗っ取りの兆候:

認証情報の漏えいが確認された後、攻撃者が以下のIPアドレスから認証を試み、認証に成功していることが確認されています。

  • 104.136.213[.]185- AS33363 - Charter Communications, Inc
  • 12.183.232[.]42- AS7018 - AT&T Enterprises, LLC
  • 160.7.237[.]192AS36223 - Spanish Fork City
  • 162.251.115[.]229 - AS11059 - MIFFLIN COUNTY WIRELESS LLC
  • 168.235.210[.]141- AS13428 - Surf Air Wireless, LLC
  • 172.220.33[.]240 - AS20115 - Charter Communications LLC
  • 174.68.140[.]219- AS22773 - Cox Communications Inc.
  • 212.102.44[.]112 - AS60068 - Datacamp Limited
  • 45.48.112[.]118AS20001 - Charter Communications Inc
  • 45.49.235[.]225- AS20001 - Charter Communications Inc
  • 71.224.199[.]104- AS7922 - Comcast Cable Communications, LLC
  • 74.101.135[.]58 - AS701 - Verizon Business
  • 98.54.180[.]132- AS7922 - Comcast Cable Communications, LLC

攻撃者は、匿名性を高め、従来の検出メカニズムを回避するために、侵害されたアカウントにサインインする際に、VPNと住宅用プロキシIPアドレスを組み合わせて使用​​します。

攻撃者が従業員のアカウントを侵害すると、Workdayにピボットし、給与を流用するために銀行情報を更新しました。

フィッシングキットの特徴:

  • 分析されたフィッシングキットは比較的単純であり、Adversary-in-the-Middle(AitM)プロキシの実装なしに、直接的な認証情報の取得に焦点を当てているようです。
  • フィッシングページは、/online/ディレクトリ内にあることがよくあります。ルートディレクトリには、多くの場合、対象組織に合わせて調整されていると思われる(小売、従業員、報酬など)テーマのバリエーションを持つ、一見無害なランディングページがホストされています。これは、難読化の一形態である可能性があります。
  • このフィッシングページは、電話(テキストと通話)、Okta Code、Okta Pushなど、さまざまなMFAメソッドを処理するように設計されており、ユーザーの操作に基づいて異なるセクションが表示されます。
  • 「ログイン」ボタンをクリックすると、スクリプトはユーザー名とパスワードを取得し、POSTリクエストを介してxxx.phpに送信します。
  • 初期ログイン後、スクリプトはcheck.phpエンドポイントを定期的にポーリングして、次の段階を判断します。
  • check.phpからの応答に基づいて、ユーザーはMFA(多要素認証)メソッドの入力を求められるか、エラーが発生した場合はページがリロードされます。
  • check.php を含むポーリングメカニズムは、ログインと MFA プロセスを追跡するサーバー側のコンポーネントを示唆しています。
  • JavaScriptとAJAXは、フィッシングページのコア機能と攻撃者のインフラストラクチャとの通信に使用されます。
<script type="text/javascript" src="https://code.jquery.com/jquery-3.7.0.min.js"></script>
  <script type="text/javascript">
    $('a').click(function(e){
                e.preventDefault();
            });


            $('#input36').click(function(){
                $('label[for='+  this.id  +']').toggleClass('checked');
            });


            $(document).on("click", '#nextButton', function(e) {
                e.preventDefault();


                var username = $('#input28').val();


                if(username.length > 3) {
                    console.log(username);
                    $('.loginBlock').hide();
                    $('.passBlock').show();
                    $('.identifier').html(username);
                } else {
                    return;
                }
            });


            $('.button-show').click(function(){
                var type = $('#input77').attr('type');
                if(type == "text"){
                    $('#input77').attr('type','password');
                } else {
                    $('#input77').attr('type','text');
                }
            });


            $(document).on('click', '.js-cancel', function(e) {
                location.reload();
            });


            $(document).on('click', '.js-switchAuthenticator', function(e) {
               $('.methodBlock').show();
               $('.phoneMethodsBlock').hide();
               $('.phoneCodeBlock').hide();
               $('.oktaCodeBlock').hide();
               $('.oktaPushBlock').hide();
            });


            $(document).on("click", '#loginButton', function(e) {
                e.preventDefault();


                var username = $('#input28').val();
                var password = $('#input77').val();


                if(username.length > 3 && password.length > 3) {
                    $('#loginButton').attr('disabled','disabled');

                    console.log(username,password);

バックグラウンド

O-TA-054は、卸売業、金融および銀行業、小売業、建設およびエンジニアリング、運輸、政府機関など、さまざまな業界の組織を積極的に標的にしています。当社の分析では、金融および銀行セクター、ヒューマンリソースおよび給与関連サービス、および政府のセルフサービスWebサイトに重点が置かれていることが示されています。

この攻撃者の手口には、標的組織のログインページに加えて、MyPAU、Kaiser HR(Kaiser従業員ポータル)、PrimePoint HR、Streamline Payroll、Dayforce、HCMBamboo HRなどの人事および給与関連サービスのログインページを偽装するフィッシングサイトの作成が含まれます。このことは、従業員データと財務情報を悪用しようとする攻撃者の意図を浮き彫りにしています。

なりすましフィッシングサイトのログインページ 図2。なりすましフィッシングサイトのログインページ

O-TA-054は主にGoogle Adsを介した不正広告キャンペーンを活用して、悪意のある広告を配信します。これらの悪意のある広告は、正規の企業および政府サービスWebサイトを偽装し、多くの場合、検索結果の上部に類似のドメインでスポンサーとして表示されます。HRポータルまたはその他の金融サービスを検索している疑いのない従業員は、これらの広告をクリックしてフィッシングサイトに誘導されます。これらの偽のログインページは、被害者を欺いて認証情報やその他の機密性の高い財務情報を入力させ、それらが攻撃者によって傍受され、従業員のアカウントを乗っ取ることができるように設計されています[1][2][3]。

アラスカポータルのなりすまし検索結果 図3. アラスカポータルのなりすまし検索結果
Oneidの代理検索結果 図4. Oneidのなりすまし検索結果

侵害が成功すると、攻撃者は被害者の資金を盗む目的で、被害者の財務情報を操作できるようになります。

私たちがしていること

私たちは、この脅威を軽減するために、以下の活動に積極的に取り組んでいます。

  • このキャンペーンに関連付けられている、新しく登録されたフィッシングドメインとインフラストラクチャを継続的に監視します。
  • 特定された悪意のあるサイトのテイクダウンリクエストを開始するために、関連するレジストラおよびホスティングプロバイダーに虐待レポートを積極的に提出します。
  • 組織がOkta環境のセキュリティを強化し、侵害された可能性のあるアカウントに関連する不審なアクティビティを調査するための支援とガイダンスを提供します。

お客様からの推奨事項

防御コントロール:

  • Okta FastPass、FIDO2 webauthn、スマートカードなどの強力な認証者にユーザーを登録させ、ポリシーでフィッシング耐性を実施します。
  • Okta認証ポリシーを使用して、顧客が構成可能なさまざまな前提条件に基づいてユーザーアカウントへのアクセスを制限することもできます。管理者は、機密性の高いアプリケーションへのアクセスを、エンドポイント管理ツールによって管理され、エンドポイントセキュリティツールによって保護されているデバイスに制限することをお勧めします。機密性の低いApplication (アプリケーション)へのアクセスについては、基本的なセキュリティ対策の指標を示す登録済みデバイス(Okta FastPassを使用)を要求します。
  • まれにしか使用されないネットワークからのリクエストを拒否するか、より保証レベルが高いを要求します。Okta Network Zonesを使用すると、アクセスは場所、ASN(自律システム番号)、IP、およびIPタイプ(既知の匿名化プロキシを識別できる)によって制御できます。
  • Okta Behavior and Risk evaluationsを使用して、以前に確立されたユーザーアクティビティのパターンから逸脱したアプリケーションへのアクセス要求を特定できます。このコンテキストを使用して、要求をステップアップまたは拒否するようにポリシーを設定できます。
  • ユーザーに、疑わしいE メール、フィッシングサイト、および攻撃者が使用する一般的なソーシャルエンジニアリングの手口の兆候を特定するように指導します。エンドユーザー通知不審なアクティビティの報告を設定して、ユーザーが潜在的な問題を簡単に報告できるようにします。

私たちは、この脅威を軽減するために、以下の活動に積極的に取り組んでいます。

  • リモートユーザーがITサポート担当者に連絡する場合、およびその逆の場合に、アイデンティティを検証するための標準化されたプロセスを文書化、啓蒙、および遵守してください。管理アクセスには、「ゼロスタンディング特権」アプローチを採用します。管理者に、日々のタスクに必要な最小限の権限を持つカスタム管理者ロールを割り当て、より特権的なロールへのJIT(ジャストインタイム)アクセスには二重認証を要求します。
  • 盗まれた管理セッションのリプレイを防ぐために、すべての管理アプリにIPセッションバインディングを適用します。
  • 管理ユーザーが機密性の高い操作を実行しようとするたびに再認証を強制するために、Protected Actionsを有効にします。

フィッシングインフラストラクチャの監視と対応:

  • アプリケーション・ログ(Oktaログ、Webプロキシ、E メール・システム、DNSサーバー、ファイアウォール)で、そのような疑わしいドメインとの通信の証拠がないか確認する。
  • ドメインを定期的に監視して、コンテンツが変更されているかどうか確認してください。

ドメインでホストされているコンテンツが著作権または法的マークを侵害している場合は、証拠を提出し、ドメイン登録機関および/またはWebホスティングプロバイダーに削除リクエストを発行することを検討してください。

参考文献

[1] Lowe’sの従業員がGoogle広告経由でフィッシング攻撃を受ける
https://www.malwarebytes.com/blog/news/2024/09/lowes-employees-phished-via-google-ads

[2] サイバー犯罪者が従業員向けセルフサービスWebサイトになりすまして、被害者の情報と資金を盗む
https://www.ic3.gov/PSA/2025/PSA250424

[3] 給与海賊を追跡する:Silent PushがHRリダイレクトフィッシング詐欺を追跡
https://www.silentpush.com/blog/payroll-pirates/

付録A:侵害指標

タイプ指標コメント確認場所
IP Address (IP アドレス)172.67.148[.]2AS13335 - Cloudflare, Inc.2025-04-19
IP Address (IP アドレス)77.37.76[.]235AS47583 - Hostinger International Limited2025-04-22
IP Address (IP アドレス)67.205.29[.]179AS26347 - New Dream Network, LLC2025/04/18
IP Address (IP アドレス)147.93.54[.]103AS47583 - Hostinger International Limited2025-04-19
IP Address (IP アドレス)178.218.166[.]217AS12417 - Plus Hosting Grupa d.o.o.2025/04/18
IP Address (IP アドレス)104.136.213[.]185AS33363 - Charter Communications, Inc2025年4月17日
IP Address (IP アドレス)12.183.232[.]42AS7018 - AT&T エンタープライズ, LLC2025年4月15日
IP Address (IP アドレス)160.7.237[.]192AS36223 - Spanish Fork City2025/04/18
IP Address (IP アドレス)162.251.115[.]229AS11059 - MIFFLIN COUNTY WIRELESS LLC2025-04-16
IP Address (IP アドレス)168.235.210[.]141AS13428 - Surf Air Wireless, LLC2025-04-14
IP Address (IP アドレス)172.220.33[.]240AS20115 - Charter Communications LLC2025/04/18
IP Address (IP アドレス)174.68.140[.]219AS22773 - Cox Communications Inc.2025年4月17日
IP Address (IP アドレス)212.102.44[.]112AS60068 - Datacamp Limited2025-04-14
IP Address (IP アドレス)45.48.112[.]118AS20001 - Charter Communications Inc2025年4月15日
IP Address (IP アドレス)45.49.235[.]225AS20001 - Charter Communications Inc2025年4月15日
IP Address (IP アドレス)71.224.199[.]104AS7922 - Comcast Cable Communications, LLC2025/04/18
IP Address (IP アドレス)74.101.135[.]58AS701 - Verizon Business2025年4月15日
IP Address (IP アドレス)98.54.180[.]132AS7922 - Comcast Cable2025-04-16

見積もりに関する注記

Okta Threat Intelligenceチームは、米国家情報長官室、インテリジェンスコミュニティ指令203 - 分析基準に概説されているように、可能性または確率を表すために次の用語を使用します。

可能性ほぼ
不可能
非常に
ありそうにない
ありそうにないおおよそ
五分五分の確率
可能性が高い可能性は非常に高いほぼ
確実(に)
確率リモート非常に
ありそうにない
ありそうもないほぼ
互角
可能性が高い
可能性が非常に高い
ほぼ
確実
割合1~5%5~20%20~45%45~55%55~80%80〜95%95~99%

アイデンティティ施策を推進