SOC Prime Bias: 中程度

30 4月 2026 17:30
newspaper icon Forcepoint

資格情報を盗むために構築された偽DHLキャンペーンの内幕

Author Photo
SOC Prime Team linkedin icon フォローする
資格情報を盗むために構築された偽DHLキャンペーンの内幕
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

DHLに偽装したフィッシングキャンペーンはユーザーの認証情報を盗むことを目的としています。この攻撃チェーンは、偽のワンタイムパスワードページとブランド化されたログインポータルを使用し、EmailJSを通じて取得したデータを流出させます。認証情報が盗まれた後、被害者は疑惑を減少させるために正規のDHLウェブサイトにリダイレクトされます。この作戦は、比較的軽量なインフラストラクチャに依存しつつ、全世界の消費者を対象としているように見えます。

調査

Forcepoint X-Labsはフィッシングメール、悪意あるリンク、クライアント側OTPを生成するJavaScriptを調査しました。その分析により、フィッシングキットがデバイスと地理位置情報を収集し、EmailJSを通じて攻撃者が管理するメールボックスに送信することが判明しました。研究者たちはサンドボックス環境で完全な攻撃フローを再現することができました。

緩和策

組織は怪しい送信者ドメインをブロックし、スプーフィングを示唆するDKIMアライメントの不一致を監視すべきです。セキュリティチームは、特定された悪意のあるドメインに解決するURLをフィルタリングまたはブロックする必要があります。また、EmailJSからの予期しない活動を監視し、怪しいペイロードが認証情報盗難の試みを浮上させる可能性があります。DHL関連アカウントに対してMFAを施行することで、もう一つの保護層を追加できます。

対応策

防御者はフィッシングキャンペーンのターゲットになったユーザーに通知し、漏洩したアカウントのパスワードをリセットするよう求めるべきです。悪意あるメールは隔離され、関連するドメインはメールおよびウェブゲートウェイでブロックされるべきです。観測されたURLパターンとEmailJSベースの流出手法を特定するために検出ルールも更新すべきです。

graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 %% Nodes phishing_email[“<b>アクション</b> – <b>T1566 フィッシング</b><br/><b>説明</b>: 正当なものに見せかけた悪意のあるメールを送信し、被害者を誘導する。<br/><b>サブテクニック</b>: メールスプーフィング (T1672)”] class phishing_email action fake_otp_page[“<b>アクション</b> – <b>T1656 なりすまし</b> および <b>T1001.003 プロトコルなりすまし</b><br/><b>説明</b>: 対象サービスを模倣した偽のワンタイムパスワードページをホストする。”] class fake_otp_page action gather_email[“<b>テクニック</b> – <b>T1589 被害者の識別情報収集</b><br/><b>説明</b>: 偽ページから被害者のメールアドレスを取得する。”] class gather_email technique browser_discovery[“<b>テクニック</b> – <b>T1217 ブラウザ情報の発見</b> および <b>T1596.005 公開技術データベース検索</b><br/><b>説明</b>: 被害者環境のブラウザ、デバイス、OSの詳細を列挙する。”] class browser_discovery technique credential_harvest[“<b>アクション</b> – <b>T1056.003 Webポータルキャプチャ</b><br/><b>説明</b>: 被害者を認証情報収集用のWebポータルへリダイレクトする。”] class credential_harvest action exfil_emailjs[“<b>テクニック</b> – <b>T1114 メール収集</b> および <b>T1102.002 Webサービス双方向通信</b><br/><b>説明</b>: EmailJSを使用して認証情報とセッションデータを外部送信する。”] class exfil_emailjs technique legit_redirect[“<b>アクション</b> – データ流出後に被害者を正規のDHLサイトへリダイレクトする。”] class legit_redirect action %% Connections phishing_email –>|leads_to| fake_otp_page fake_otp_page –>|collects| gather_email fake_otp_page –>|collects| browser_discovery gather_email –>|provides| credential_harvest browser_discovery –>|provides| credential_harvest credential_harvest –>|exfiltrates| exfil_emailjs exfil_emailjs –>|final_redirect| legit_redirect

攻撃フロー

## シミュレーション実行

前提条件: テレメトリとベースラインプリフライトチェックが合格していること。

理由: このセクションでは、観測された検出ルールを引き起こすように設計された敵対者テクニック(TTP)の正確な実行を示します。コマンドとナラティブは特定されたTTPを直接反映させ、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。

  • 攻撃のナラティブとコマンド:

    攻撃者はDHLの認証情報を収集することを狙って、 cupelva.com ドメイン(既知の似たもの)をスプーフィングし、最近のキャンペーンで使用された正確な件名行を持つメールを作成します。このメールを侵害された外部SMTPサーバーを通じて送信することで、メッセージがExchangeの受信トレイに届き、ルールの基準に一致するトランスポートログを生成します。

  • リグレッションテストスクリプト:

    # シミュレーションされたフィッシングメール - 検出ルールをトリガーするはず
$smtpServer = "smtp.malicious-host.com"   # 外部侵入サーバー
$msg = @{
    From = "dhl@cupelva.com"
    To   = "victim@contoso.com"
    Subject = "DHL EXPRESS WAYBILL CONFIRMATION REQUIRED"
    Body = @"
親愛なる顧客様、

最近の出荷物のための送り状が確認を必要としています。下のリンクをクリックして詳細を確認してください:

https://malicious.example.com/verify

敬具、DHLエクスプレス “@ SmtpServer = $smtpServer } Send-MailMessage @msg

- **クリーンアップコマンド:**  

  powershell
  # 被害者のメールボックスからテストメールを削除する (Exchange PowerShell)
  Import-Module ExchangeOnlineManagement
  Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
  Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"DHL EXPRESS WAYBILL CONFIRMATION REQUIRED"' -DeleteContent
  Disconnect-ExchangeOnline -Confirm:$false

## 規制回避評価と強化推奨策

潜在的な回避テクニック 可能性 ルールへの影響 緩和策
件名行を変更する(例:空白を追加、大小文字の変更) 高い ルールがイベントを見逃す 大文字・小文字を区別しない正規表現とファジーキーワードマッチングを使用(subject|contains|regex: "DHLs+EXPRESS.*WAYBILL.*REQUIRED").
異なるスプーフィングされたドメインを使用する(例: dhl-express.co) 高い ルールがイベントを見逃す DKIM / SPFの失敗検出を組み込み、送信者ドメインに関係なく、既知のブランド関連のキーワードを探します。
悪意あるリンクを埋め込むが、件名を変更しない 中程度 ルールは依然として発動(良い) URLの評価チェックを追加して自信を高めます。
本文ではなく添付ファイルとして送信(T1192) Low ルールには影響なし(件名はまだ一致) 受信したファイル名、MIMEタイプなどの添付ファイルメタデータを検査するようルールを拡張。

推奨事項

  1. 送信者の評価を拡大: 単一のハードコードドメインの代わりに、“dhl.com”ブランドに対してSPF / DKIMを含むメールをフラグし、DHL関連のキーワードを含むメールをすべてフラグします。
  2. ファジー件名マッチング: 正確な文字列マッチングの代わりに、バリエーション、ケースの違い、および一般的な難読化をキャプチャする正規表現に置き換えます。
  3. URL評価での強化: メッセージ本文からURLを解析し、既知の悪意あるホストに解決するリンクやURL短縮器を使用しているリンクがある場合はフラグを立てます。
  4. 添付ファイルのヒューリスティックを追加: ルールが attack.t1192をタグ付けした際、2重拡張ファイルやDHL関連のフィッシングでよく使用されるスクリプトを検査するチェックを組み込みます。

これらの強化ステップを実装することで、レジリエンススコアを 4–5に向けて高め、単純な回避のリスクを減らしながら、誤検出率を低く保ちます。

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加