フィッシャーがMeta Business Account Managerを悪用
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
未確認の脅威アクターが、Metaの正式なBusiness Managerサービスを悪用し、非常に説得力のあるフィッシングメールを送信しています。メッセージにはURLを含むビジネス名を操作して使用し、標的にフィッシングサイトを訪問させたり、Facebook Messengerのチャットボットと対話させたりするよう促します。このキャンペーンはMetaアカウントの認証情報、MFAコード、および身分証明書を盗むことを目的としています。
調査
Huntressは2026年6月にハニーポットでフィッシングメールを検出した後、攻撃チェーンを分析しました。調査により、以前のGoogle Sitesリダイレクト手法から、Facebook MessengerチャットボットとiFramedフィッシングページを使用するより高度なアプローチへのシフトが示されました。研究者はまた、ドメインを通じて流出活動を追跡しました。 api.goautolink.com および関連するTelegramボット。
軽減策
Metaは、ビジネス名にURLを使用しようとするビジネスアカウントをロックする技術的な制御を導入しました。ユーザーは予期しないビジネスパートナーシップの要求に注意を払い、リンクされた宛先を慎重に調査するべきです。送信者が正当なものであるように見える場合でも、メール中の疑わしいリンクを避けることが重要な防御ラインとなります。
対策
疑わしいビジネスパートナーシップの要求が検出された場合、管理者は正式なMetaチャネルを通じてその正当性を確認するべきです。認証情報や身分証明書が露出した場合、アカウントの回復とMFAのリセットアクションを直ちに開始する必要があります。組織はまた、Meta Business Managerアカウントの不正アクセスや変更を監視するべきです。
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインの事前チェックが合格していること。
理由: このセクションは、検出ルールをトリガーするために設計された敵対者の技術(TTP)の正確な実行方法を詳細に説明します。コマンドと説明は、特定された見境なく例示されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成する必要があります。抽象的または無関係な例は誤診につながります。
-
攻撃説明&コマンド: 敵対者はMeta Business Manager通知を装ったフィッシングメールを送信しました。フィッシングリンクのテストを自動化するためや、ローカライズされたスクリプトを利用してランディングページから情報を取得するために、攻撃者はPowerShellスクリプトを実行します。このスクリプトにはハードコードされた悪意のあるURLが含まれています。
sites.google.com/view/profile1012andaussiecleaningservices.comスクリプトが実行されると、PowerShellエンジンはスクリプトブロックの全内容をログに記録し、これらの文字列が含まれているため、検出ルールがトリガーされます。 -
回帰テストスクリプト:
# スクリプトブロックに悪意のあるURLを含めることで検出ルールをトリガーするシミュレーションスクリプト。 $maliciousUrl1 = "https://sites.google.com/view/profile1012" $maliciousUrl2 = "http://aussiecleaningservices.com/login" Write-Host "フィッシングリンクの処理をシミュレート中..." $testString = "処理中のリンク: $maliciousUrl1 と $maliciousUrl2" Write-Output $testString -
クリーンアップコマンド:
# システムに恒久的な変更は加えられていないので、クリーンアップは不要です。 # トランスクリプションファイルが作成された場合、削除してください: # Remove-Item C:UsersDocumentsPowerShell_Transcript.txt -ErrorAction SilentlyContinue