概要
Okta 脅威インテリジェンスは、Microsoft 365およびGoogle Workspaceアカウントを標的とする、巧妙で高度な、活発に展開されているフィッシング-as-a-Service(PhaaS)プラットフォームを発見しました。これはVoidProxyまたはO-TA-083として追跡しています。
VoidProxy PhaaSからのアクティビティは、少なくとも2025年1月から確認されており、新しいドメインとアカウントの乗っ取りの試みが日々観測されています。このプラットフォームは、複数の業界セクターの組織を標的とするために使用されています。
VoidProxyは、Adversary-in-the-Middle(AitM)の手法を悪用して認証フローをリアルタイムで傍受し、認証情報と多要素認証(MFA)コードをキャプチャし、セッションCookieを盗み取ることで、MFA保護を回避します。
この機能により、SMSコードや認証アプリからのワンタイムパスワード(OTP)などの一般的なMFA方式は効果がなくなります。しかし、Oktaはフィッシング耐性のある認証要素の選択肢を提供しており、その中にはOkta FastPassが含まれます。Okta FastPassは、私たちが確認した攻撃において、VoidProxyによるすべてのアカウント乗っ取りの試みを阻止しました。
VoidProxy の主な目的は、企業の アカウントを漏洩または侵害して、ビジネスE メール詐欺 (BEC)、金融詐欺、データ窃取、被害者ネットワーク内のラテラルムーブメントなどの悪意のある活動を助長することです。
PhaaSモデルであるVoidProxyは、広範な攻撃者がAitMフィッシング攻撃を実行するための技術的な障壁を下げ、潜在的な影響を大幅に増大させます。このプラットフォームは、成熟し、拡張性があり、回避策を講じる脅威であり、従来のメールセキュリティおよび認証制御を困難にするものです。
本アドバイザリーの情報は、組織がこの脅威によってもたらされるリスクを理解し、軽減できるように提供されています。
VoidProxy - 重要ポイント
配信とリダイレクトのための信頼できるサービスの悪用
VoidProxyは、Constant Contact、Active Campaign (Postmarkapp)、NotifyVisitorsなどの正規のメールサービスプロバイダー(ESP)を使用してフィッシングメールを送信し、これらのサービスの高い評判を悪用してスパムフィルターを回避します。URL短縮サービスも使用します (例:フィッシングページの最終的な送信先を隠蔽し、メールフィルタリングソリューションを回避するために、TinyURLが使用されています。
低コストのドメイン登録
.icuのような、低コストで低評価のTLDで登録されたドメインで、プライマリランディングページがホストされています。.sbs、.cfd、.xyz、top、および.home。さらに、特定のサブドメインのプレフィックス(accounts、login、portal、setup、securedauthxx、newnewdomなど)が、特定のアイデンティティプロバイダーを標的とするために使用されていることを確認しました。
Cloudflare Workersの悪用によるリクエストのフィルタリング
VoidProxyは分散型アーキテクチャを使用しています。Cloudflare Workers (*.workers.dev)は、フィッシングコンテンツを提供し、Cloudflare CAPTCHA課題などの予備的なチェックを実行する、最初のゲートキーパーとして機能する可能性があります。中心となるAdversary-in-the-Middle(AitM)プロキシロジックは、別にホストされています。
エフェメラルインフラストラクチャとC&C(コマンド&コントロール)
コアプロキシサーバーと攻撃者の管理パネルは、動的DNSワイルドカードサービス(sslip.io、nip.io)を利用するエフェメラルインフラストラクチャ上でホストされています。これらのサービスにより、攻撃者はほぼ無制限にユニークなホスト名を生成でき、インフラストラクチャを短命かつ容易に使い捨て可能なものにしています。
ユニークな状態管理Cookie
VoidProxy は、特定の Cookie 名を使用して、フィッシングセッションの状態を管理します。Cookie __xxdomstate は、Google アカウントを標的とした攻撃で一貫して観察されます。一方、_xhooknstate は、Microsoft 365 アカウントで使用されます。
通常と異なる文字列
Cloudflare WorkersページのHTMLソースコードとランディングページのタイトルには、アルゴリズムで生成された、構文的にはもっともらしいが意味的には無意味な文章がコメントアウトされているのが確認されました。例「しかし、ここ数ヶ月、リンゴはラクダに関連するワニのために、ミツバチをレンタルし始めています。」
脅威分析
攻撃の構造: VoidProxy のキルチェーン
VoidProxy攻撃の手法は、セキュリティ制御を体系的に回避し、エンドユーザーを欺くように設計された多段階のキルチェーンに従います。各段階は慎重に調整されており、分散インフラストラクチャを活用してアカウント乗っ取りという目的を達成します。
ステージ1:配信
VoidProxy攻撃の最初の侵入経路は、Microsoft 365やGoogle Workspaceなどの主要なクラウドサービスのユーザーを標的としたフィッシングメールです。
標準的なセキュリティ制御を回避するために、攻撃者は正当な評判の高いEメールサービスプロバイダー(ESP)を使用します。Constant Contact、Active Campaign(Postmarkapp)、NotifyVisitorsなどのサービスを使用して、悪意のあるルアーを送信していることを確認しました。これは意図的な選択です。このようなサービスの信頼できるIP範囲から送信されるEメールは、Eメールゲートウェイによってスパムまたは悪意のあるものとしてフラグが立てられる可能性が低いためです。
これらのE メールに組み込まれているリンクは、多くの場合、 TinyURL のような正当な URL 短縮サービスを使用して、フィッシングページの実際のアドレスを隠蔽します。これは、ユーザーと自動スキャナーの両方から真の宛先を隠蔽するのに役立ち、ユーザーがリンクをクリックして最終的な宛先に到達する可能性を高めます。
TinyURLからフィッシングページへのリダイレクト
あるキャンペーンでは、攻撃者がOktaの人事機能を偽装して、受信者をデジタル給与明細の悪意のあるリンクをクリックするように誘い込みました。
図2:Constant Contactを悪用した傍受されたフィッシングメッセージ。
VoidProxyのアクティビティをさらに分析したところ、Zoom Docsプラットフォームでホストされている不正なDocuSignドキュメントが発見されました。このドキュメントも被害者を誤解させるために利用されていました。
図3:AnyRunを使用して特定されたZoom Docs経由で配信されるDocuSignのルアー
図4: AnyRunスキャンは、Zoomドキュメントのリンクからフィッシングドメインへのリダイレクトを示しています
ステップ2:Cloudflare Workersを介した回避と誘い込みの読み込み
悪意のあるリンクをクリックすると、ターゲットユーザーは直接ログインフォームに移動しません。代わりに、フィッシングサイトはCloudflare CAPTCHA課題を提示します。これは、自動セキュリティスキャナーとボットを排除し、人間のユーザーのみが続行できるように設計されています。
図5。フィッシングドメイン上でターゲットユーザーに表示されるCloudflare CAPTCHA
ユーザーのブラウザは、Cloudflare Worker(*.workers.dev)と通信します。このWorkerは、ゲートキーパーおよびルアーローダーとして機能している可能性が高いと評価しています。その主な機能は、受信トラフィックをフィルタリングし、特定のターゲットに対して適切なフィッシングページをロードすることです。このアーキテクチャは、初期フィルタリングとキャンペーンの中核となるフィッシング操作を分離します。課題に合格すると、ユーザーには最終的なフィッシングページが表示されます。これは、正当なログインポータルの完全なレプリカです。
フィッシングドメインは、次のパターンを使用します。
- Microsoft 365をターゲットとする場合:ログイン。<phishing_domain>.<tld>
- Google Workspaceのターゲット:アカウント<phishing_domain>.<tld>
図6:Googleアカウントを標的としたVoidProxyフィッシングページ
図 7: Microsoft アカウントを標的とした VoidProxy フィッシングページ
フィッシングページが訪問者を意図したターゲットではなくスキャナーまたはセキュリティツールであると検出した場合、"Welcome!" というテキストを表示する空白のページを返します。
図8。フィッシングページに「Welcome!」が表示されます。歓迎されない訪問者向けのページ
ステップ 3:SSOで保護されたアカウントに対する認証情報の傍受
この段階では、VoidProxyの洗練された多層的な性質、特にOktaのようなアイデンティティプロバイダーを利用する高価値ターゲットを侵害する能力が明らかになります。
被害者がフィッシングページでMicrosoftまたはGoogleのプライマリ認証情報を入力すると、データはコアのAiTMプロキシサーバー(sslip.io/nip.ioインフラストラクチャでホスト)にリダイレクトされます。
プロキシがアカウントがOkta経由で連携されていることを検出すると、ユーザーは組織固有のOktaサインインページを模倣した2番目のフィッシングページにシームレスにリダイレクトされます。
この2段階目のフィッシングページは、異なるサブドメインのパターンを使用しています。
- Okta(Microsoftを装って): newnewdom<random>.<phishing_domain>。<tld>
- Okta(Googleを装って):securedauthxx<random>.<phishing_domain>。<tld>
securedauthxxccbgchgfj.xhfwez[.]icu
securedauthxxdcigbjdddj.losozr[.]icu
securedauthxxeafihgjdhb.dcohcv[.]icu
newnewdomnewcgbdhghjhi.prophfrot[.]top
newnewdomnewebjjfjegfd.eeocl[.]com
newnewdomnewdihbddahf.access-point[.]icu
図9. SSOで保護されたユーザーに対して生成されたサブドメインパターンの例
ステージ 4:AitMリレーとセッションハイジャック
フィッシング攻撃の最終段階では、sslip.ioまたはnip.ioインフラストラクチャでホストされているコアプロキシサーバーが、Adversary-in-the-Middle(AitM)攻撃を実行します。
サーバーは、ユーザー名、パスワード、MFA応答を含む情報を、Microsoft、Google、Oktaなどの正当なサービスに対してキャプチャして中継するリバースプロキシとして機能します。このプロセスにより、攻撃者がアカウントを乗っ取ることになります。
VoidProxyのインフラストラクチャ
VoidProxyは、それぞれに固有の特性を持つ、明確な段階で構成される多層アプローチを採用しています。
VoidProxyの運用インフラストラクチャは、使い捨ての、高頻度で入れ替わるフロントエンドと、サーバーレスアーキテクチャでホストされている、より永続的で回復力のあるバックエンドの組み合わせで構成されています。
ドメインとサブドメインのパターン
VoidProxyのオペレーターは、インフラストラクチャの展開に関して一貫したパターンを遵守しています。
- フィッシングドメイン: 主なランディングページは、.icuなどの低コストで低評価のTLDで登録されたドメインでホストされています。.sbs、.cfd、xyztop、および.home。この戦略は、運用コストを最小限に抑え、攻撃者がドメインを使い捨て資産として扱い、特定されてブラックリストに登録されるとすぐに放棄できるようにします。フィッシングサイトはCloudflareの背後に配置されており、フィッシングサイトのサーバーの実際のIPアドレスを効果的に隠蔽し、セキュリティチームが悪意のあるホストを追跡して停止させることをより困難にしています。
- サブドメインのプレフィックス:複数のVoidProxy URLの分析により、アカウント、ログイン、ポータル、securedauthxx、newnewdomなどの特定のサブドメインプレフィックスが繰り返し使用されていることが明らかになりました。これらのプレフィックスは、特定のアイデンティティプロバイダーで使用されるパターンをターゲットにするために、キットのデプロイメントスクリプトによって自動的に生成される可能性が高いと評価しています。
Cloudflare Workersを使用したセキュリティフィルタリング
上記のように、PhaaSプラットフォームは分散型アーキテクチャを使用しています。Cloudflare Workers (*.workers.dev)初期のゲートキーパーとして機能し、フィッシングコンテンツを提供し、Cloudflare CAPTCHA課題を提示するなど、予備的なチェックを実行します。
VoidProxy PhaaSの運用モデルに関する興味深い洞察は、Cloudflare Workerのエンドポイントの命名規則から得られます。複数のケースを分析した結果、一貫したパターンが浮かび上がりました。すべてのCloudflare Workerのエンドポイントは、同じ命名構成を使用して作成されていました。攻撃者は、サブドメインでaidenveliz、kelvingomez、sammybruceのようなもっともらしい英語の名前を使用しています。
<alphanumeric><firstnamelastname>..workers.dev.
このパターンは、PhaaS顧客(キットをレンタルする攻撃者)向けの自動化または半自動化されたプロビジョニングシステムを強く示唆しています。キットを購入した各攻撃者に対して一意のCloudflareアカウントを手動で作成および管理するのは、非効率的であり、拡張が困難です。代わりに、VoidProxyオペレーターがマスターアカウントまたはAPIキーを使用して、このインフラストラクチャをプログラム的に生成している可能性があります。ランダムに生成された<firstnamelastname>コンポーネントは、特定の顧客または大規模なキャンペーンの一意の名前空間として機能する可能性があります。次に、<alphanumeric>プレフィックスは、その攻撃者によってデプロイされた特定のフィッシングページインスタンスの一意の識別子として機能します。このアーキテクチャは、キットの購入者間に分離の層を提供し、研究者がすべてのVoidProxyアクティビティを単一の制御エンティティにリンクすることをより困難にします。
図 10: Cloudflare Workersの不正利用の例
コアプロキシと C2 インフラストラクチャ
AiTM リバースプロキシと攻撃者の管理パネルの両方である VoidProxy の運用の核心は、動的な DNS ワイルドカードサービス sslip.io および nip.io 経由でアクセスされるサーバーでホストされています。これらのサービスは、埋め込み IP アドレスを持つホスト名をそれらの IP に直接解決するように設計されています。 IP は、開発を目的とした機能ですが、現在は悪意のある目的で使用されています。
このインフラストラクチャは、以下として機能します:
- AitMプロキシエンジン:これは、実際の中間者攻撃を実行するサーバーであり、セッションCookieを盗むために、被害者と正当なサービス間でトラフィックを中継します。
- 攻撃者の管理パネル:これらのURLは、PhaaSの顧客がキャンペーンを構成し、被害者をリアルタイムで監視し、盗まれたデータにアクセスするために使用するウェブパネルもホストしています。
「voidproxy」プレフィックスの使用は、このC2インフラストラクチャの自己識別マーカーです。このアーキテクチャは、フィッシングURLドメインでの最初のルアーのロードをコアロジック(*.sslip.io)から分離し、運用効率とレジリエンスのために設計された、洗練された多層アプローチを示しています。
アカウント乗っ取り活動で使用されるインフラストラクチャ
Okta Threat Intelligenceは、VoidProxyフィッシングキャンペーンの成功に続いて、いくつかのアカウント乗っ取りの試みを確認しました。
フィッシング耐性のないMFA方式(OTPやプッシュリクエストなど)に依存しているユーザーに対して、アカウント乗っ取りが成功しました。VoidProxyのAitM機能により、攻撃者はこれらのワンタイムコードとプッシュ通知をリアルタイムで傍受および中継し、MFA課題を効果的に回避できます。
対照的に、Okta FastPassはすべてのアカウント乗っ取りの試みを阻止することに成功しました。FastPassは認証を正当なドメインとデバイスにバインドするため、AitMプロキシが有効なセッション情報を傍受して再生することは不可能です。
これは、VoidProxyのような高度なPaaSプラットフォームからの脅威を効果的に軽減するために、フィッシング耐性のあるMFAを導入することが非常に重要であることを示しています。
ユーザー認証情報の侵害に成功すると、攻撃者が次の ASN で主にホストされている IP から認証を試みているのが確認されました。
- AS36352 - HostPapa
- AS149440 - Evoxt エンタープライズ
- AS210558 - 1337 Services GmbH
- AS401120 - cheapy.host LLC
- AS23470 - ReliableSite.Net LLC
図11:VoidProxyインフラストラクチャの背後にあるホスティングプロバイダーのダッシュボード
VoidProxy管理者パネル
フィッシングキットの分析により、PaaSの顧客がキャンペーンを管理および監視できる、フル機能を備えた管理パネルが明らかになりました。このパネルは、攻撃を組織化し、盗まれたデータを収集するための包括的なインターフェイスを提供します。
図12:VoidProxy管理者のログインページ
管理パネルのWebページでさらに分析を行った結果、PaaSが提供するさまざまな機能とサービスが観察されました。
ダッシュボードページ(/dashboard)
図13:VoidProxy管理パネルのダッシュボード。
このページはオペレーターの中心的なハブとして機能し、キャンペーンのパフォーマンスと最近のアクティビティの概要を提供します。表示される主要な測定基準は次のとおりです。
- キャンペーンの概要
- 総クリック数と総送信数
- 盗まれた認証情報
- 最新のアクティビティとライブフィード
- 被害者の場所
キャンペーンページ (/dashboard/campaigns)
図14:VoidProxy管理者パネルのキャンペーンページ
管理パネルのこのセクションは、フィッシングキャンペーンの作成と管理に特化しています。各キャンペーンを制御する機能を備えたデータテーブルが特徴です。
- 管理:オペレーターは「新しいキャンペーン」を作成したり、既存のキャンペーンを管理したりできます。
- 詳細:列には、「キャンペーン名」、「ターゲットサービス」(例:Microsoft 365、Google)、「ステータス」(アクティブ、一時停止)、「作成日」が表示されます。
- 測定基準: 各キャンペーンの「総クリック数」や「総サブミッション数」などの主要な統計が表示されます。
- アクション:オペレーターはキャンペーンを「開始」、「停止」、「一時停止」、「削除」できます。
個々のキャンペーンページ(/dashboard/campaigns/[campaign_id])
このページでは、単一のキャンペーンのきめ細かいビューを提供し、オペレーターはキャプチャされたデータとログを検査できます。
- 被害者ログ:被害者のインタラクションの詳細なログを提供します。
- キャプチャされたデータ: 「盗まれた認証情報」、「セッションクッキー」、「IPアドレス」、「ユーザーエージェント」など、盗まれたすべてのデータが表示されます。
- アクション:オフライン分析用に「ログをダウンロード」するオプションが含まれています。
設定ページ(/ダッシュボード/settings)
図15:VoidProxy管理者パネルのキャンペーン設定ページ
このページでは、オペレーターがプラットフォームを設定し、データ窃取および通知のために他のサービスと統合できます。
- アカウント管理:「パスワードの変更」および「APIキー」の管理オプションが含まれます。
- 統合:オペレーターは、リアルタイム通知を受信し、盗まれたデータを自動的に流出させるために、「Telegram ボット トークン」または一般的な「ウェブフック URL」を構成できます。
VoidProxyと地下組織のアイデンティティの関連付け
キャンペーンの分析後、Okta脅威インテリジェンスは、この新しいPaaSプラットフォームを特定の攻撃者にリンクできるアクティビティについて、地下のエコシステムを調査しました。
調査の結果、「BIGFATCHAT™」チャネル(詐欺師を匿うことで知られるチャネル)に投稿された2024年8月付けのTelegramメッセージが発見されました。このメッセージでは、VOIDという名前のユーザーが「すべての2FAをバイパス」するサービスを提供していました。
図16:このTelegramチャンネルは、公開時には非アクティブでした。
このサービスは、当時 $ 250 で、AOL、Yahoo、iCloud、Live、Google、および Office 365(ADFS、GODADDY、OKTA)からの 2 要素認証(2FA)ログインをバイパスすることを約束しています。メッセージには、AWS サーバーで実行されていると思われる「voidproxy」という名前のサービスのスクリーンショットが添付されていました。スクリーンショットから、サービスのいくつかのコンポーネントがアクティブであることが明らかになりました。これには、「MITMSERVER」(Man-in-the-Middle Server)が含まれており、GoogleやOffice 365などのプラットフォームの認証フローをバイパスするようにすでに構成されていました。
特に、インフラストラクチャはセッションクッキーを傍受するように設計されているようで、インターフェースで言及されているTelegramボットを介して流出していました。AitMサーバーの存在は、これらの指標とともに、このセットアップが認証情報を収集し、ユーザーセッションをハイジャックするために準備された完全に運用可能なPhaaS環境であることを強く示唆しています。
図17:ダークWeb広告に添付されたVoidProxyのスクリーンショット
このサービスの背後にいるユーザーは、少なくとも 2022 年からサイバー犯罪のアンダーグラウンドで活動しており、最初は複数の英語の Telegram チャンネルで活動していました。その多くは、詐欺関連の活動に関連付けられています。
VOIDおよびGODLESS666の別名で活動する個人は、BECスキームに早い段階で関心を示し、「SMSフィッシング」(別名スミッシング)を実行するためのパートナーを探していました。
2023年、VOIDはアイデンティティサービスプロバイダーに関心を示し始め、特にOktaとDuo Securityの認証情報を求めていました。Okta 脅威インテリジェンスチームは、VOIDが使用する追加のモニカを発見しました。これには、有名な英語フォーラム「Breached」のアクティブユーザーである「godlessvoid666」が含まれます。
図18: VOIDユーザープロファイル
本稿執筆時点では、このユーザーが本脅威アドバイザリレポートで説明されているVoidProxy PhaaSに直接関係していることを確認するための明確なリンクは確立されていません。ただし、上記のコンテキスト指標と手口に基づいて、そのような関係は中程度の信頼度で評価できます。
脅威対策
私たちがしていること:
私たちは、この脅威を軽減するために、次の活動に積極的に取り組んでいます:
- このキャンペーンに関連する新しく登録されたフィッシングドメインとインフラストラクチャを継続的に監視します。
- 特定された悪意のあるサイトのテイクダウンリクエストを開始するために、関連するレジストラおよびホスティングプロバイダーに悪用レポートを積極的に提出します。
- 関連性の高い脅威インジケーターの継続的なストリームを Okta AI を使用した Okta Identity Threat Protection に供給します。
- 組織がOkta環境のセキュリティを強化し、侵害された可能性のあるアカウントに関連する不審なアクティビティを調査するための支援とガイダンスを提供します。
Protective Controls
お客様への推奨事項
- Okta FastPass、FIDO2 webauthn、スマートカードなどの強力な認証システムにユーザーを登録し、ポリシーでフィッシング耐性を強化します。Okta Verifyプッシュ通知に対して例外が設けられている場合は、すべてのサインイン試行またはリスクの高いサインイン試行に対して、番号課題を強制することを推奨します。
- Okta認証ポリシーを使用して、顧客が設定可能な条件に基づいてユーザーアカウントへのアクセスを制限することもできます。管理者は、Endpoint Managementツールによって管理され、エンドポイントセキュリティツールによって保護されているデバイスへの機密性の高いアプリケーションへのアクセスを制限することをお勧めします。機密性の低いアプリケーションへのアクセスには、基本的な衛生状態の指標を示す登録済みデバイス(Okta FastPassを使用)を要求します。
- まれにしか使用されないネットワークからのリクエストを拒否するか、より保証レベルが高いを要求します。Okta Network Zonesを使用すると、アクセスは場所、ASN(自律システム番号)、IP、およびIPタイプ(既知の匿名化プロキシを識別できる)によって制御できます。
- Okta Behavior and Risk evaluationsを使用して、以前に確立されたユーザーアクティビティのパターンから逸脱したアプリケーションへのアクセス要求を特定できます。このコンテキストを使用して、要求をステップアップまたは拒否するようにポリシーを設定できます。
- 疑わしいE メール、フィッシングサイト、および攻撃者が使用する一般的なソーシャルエンジニアリングの手法を特定するようにユーザーをトレーニングします。エンドユーザー通知と疑わしいアクティビティのレポート機能を構成して、ユーザーが潜在的な問題を簡単に報告できるようにします。
- ITサポート担当者に連絡するリモートユーザーのアイデンティティを検証するための標準化されたプロセスを文書化、普及、および遵守します(逆も同様)。
- 管理者アクセスに対して「ゼロ・スタンディング・プリビレッジ(Zero Standing Privileges)」のアプローチを取ってください。管理者にカスタム管理者ロールを割り当てて、日常業務に必要な最小限の権限を与え、より特権的なロールへのJIT(ジャストインタイム)アクセスには二重認証を要求します。
- すべての管理アプリにIPセッションバインディングを適用して、盗まれた管理セッションのリプレイを防止します。
- 管理ユーザーが機密性の高い操作を実行しようとするたびに再認証を強制するために、Protected Actionsを有効にします。
フィッシングインフラストラクチャの監視と対応:
- アプリケーション・ログ(Oktaログ、Webプロキシ、E メール・システム、DNSサーバー、ファイアウォール)で、そのような疑わしいドメインとの通信の証拠がないか確認する。
- ドメインを定期的に監視して、コンテンツが変更されているかどうか確認してください。
- ドメインでホストされているコンテンツが著作権または法的マークに違反している場合は、証拠を提供し、ドメインレジストラやWebホスティングプロバイダーに削除リクエストを発行することを検討してください。
付録A:侵害の指標
これは現在も進行中の調査であり、キャンペーンの展開に伴い、追加のIOCが特定される可能性があります。組織は、警戒を怠らず、推奨される軽減戦略を実行することが推奨されます。以下に確認されたIOCを示します。
| タイプ | 指標 | コメント | 確認場所 |
|---|---|---|---|
| ドメイン | ログイン.<phishing.page>.<tld> | 標的とするフィッシングドメイン Microsoft | 08.2024 - 08.2025 |
| ドメイン | accounts.<phishing_domain>.<tld> | Googleを標的とするフィッシングドメイン | 08.2024 - 08.2025 |
| ドメイン | newnewdom<random>. <phishing_domain.tld> | リダイレクト元フィッシングドメイン からMicrosoft経由でOktaへ | 01.2025 - 08.2025 |
| ドメイン | securedauthxx<random>. <phishing_domain>.tld | リダイレクトからのフィッシングドメイン からOktaへ(Google経由) | 01.2025 - 08.2025 |
| ドメイン | <alphanumeric>. <firstnamelastname>.workers.dev. | Cloudflare Workers インフラ | 01.2025 - 08.2025 |
| AS番号 | AS36352 - HostPapa | Proxyが使用する インフラストラクチャ | 01.2025 - 08.2025 |
| AS番号 | AS149440 - Evoxt エンタープライズ | Proxyが使用する インフラストラクチャ | 01.2025 - 08.2025 |
| AS番号 | AS210558 - 1337 Services GmbH | Proxyが使用する インフラストラクチャ | 01.2025 - 08.2025 |
| AS番号 | AS401120- cheapy.host LLC | Proxyが使用する インフラストラクチャ | 01.2025 - 08.2025 |
| AS番号 | AS23470 - ReliableSite.Net LLC | Proxyが使用する インフラストラクチャ | 01.2025 - 08.2025 |
追加の指標は、Oktaのお客様がsecurity.okta.comでダウンロードできる、修正されていないアドバイザリからも入手できます。
見積もりに関する注記
Oktaの脅威インテリジェンスチームは、米国家情報ディレクター室のコミュニティ指令203:分析標準に概説されているように、可能性または確率を表すために次の用語を使用します。
| 可能性 | ほぼ 不可能 | 非常に ありそうにない | ありそうにない | ほぼ 五分五分の確率 | 可能性が高い | 可能性は非常に高い | ほぼ 確実(に) |
|---|---|---|---|---|---|---|---|
| 確率 | リモート | 非常に ありそうにない | ありそうもない | ほぼ 互角 | 可能性が高い | 可能性が非常に高い | ほぼ 確実 |
| パーセンテージ | 1~5% | 5~20% | 20~45% | 45-55% | 55~80% | 80〜95% | 95~99% |
