フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
解析
サイバー犯罪者は、内部のスパムフィルターアラートのように見える偽のメール配送通知を送信しています。メッセージには、悪意のある「受信トレイに移動」ボタンと、フィッシングサイトに誘導するために改ざんされたドメインを経由してリダイレクトする退会リンクが含まれています。このサイトは、重度に難読化されたコードとWebSocketチャンネルを使用して、2FAコードを含む可能性のある認証情報を即座に収集します。
調査
研究者たちは、フィッシングメールがリダイレクトURLにbase64符号化されたメールアドレスを埋め込んでいることを観察しました。ボタンと退会リンクの両方がcbsに転送され、その後最終的なフィッシングホストに転送されます。その悪意のあるページは、被害者のドメインで事前入力された偽のログインフォームを提供し、永続的なWebSocket接続を通じて認証情報を取得し、リアルタイムでの外部送信と2FAコードなどの追加データのプロンプトを可能にします。感染の兆候には、http://mdbgo.ioの複数のサブドメインや、xxx-three-theta.vercel.app、client1.inftrimool.xyz、http://psee.io、veluntra-technology-productivity-boost-cold-pine-8f29.ellenplum9.workers.dev、lotusbridge.ru.com、shain-log4rtf.surge.shなどの無関係なドメインが含まれます。
緩和策
送信者アドレスを確認し、クリックする前にURLを確認してください。すべてのアカウントで多要素認証を使用すること。悪意のあるリダイレクトをブロックするために、Malwarebytes Browser Guardなどのウェブ保護が付いた最新のセキュリティソフトウェアを展開すること。未知のサイトに自動入力しないパスワードマネージャーを使用すること。ユーザーが未承諾の添付ファイルを避け、予期しない要求を別のチャネルで確認するよう教育すること。オペレーティングシステムとアプリケーションを定期的に更新すること。
対応
列挙された悪意のあるドメインおよびサブドメインをネットワークの境界とDNSレベルでブロックすること。既知のフィッシングホストへのリダイレクトを検出およびブロックするウェブフィルタリングソリューションを導入すること。妥協された可能性のあるアカウントについて、認証情報のリセットキャンペーンを実施すること。異常なアウトバウンド接続のためにWebSocketトラフィックを監視すること。偽のメールアラートとフィッシング技術に焦点を当てたユーザー意識トレーニングを実施すること。
シミュレーションの説明書
-
攻撃のシナリオとコマンド:
Redisインスタンスへのネットワークアクセスを持つ攻撃者が、luaX_setinputをオーバーサイズの文字列で呼び出す悪意のあるLuaペイロードを作成し、Luaエンジン内で整数オーバーフローを引き起こします。このペイロードは、redis-cli --evalでターゲットキーexploitに配信されます。このペイロードの実行により、RedisはLuaスクリプトをロードし、脆弱な関数を呼び出し、クラッシュまたは任意のコードの実行を余儀なくされます。これは、検出ルールが監視している正確な内容です。 -
回帰テストスクリプト:
#!/usr/bin/env bash # ------------------------------------------------- # エクスプロイトシミュレーション:luaX_setinputオーバーフロートリガー # ------------------------------------------------- set -euo pipefail REDIS_CLI="redis-cli" EXPLOIT_KEY="exploit" # オーバーサイズ入力文字列を作成する(> 2^31バイト) - ここではサイズをシミュレートするためにリピートを使用