資格情報を盗むために構築された偽DHLキャンペーンの内幕
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
DHLに偽装したフィッシングキャンペーンはユーザーの認証情報を盗むことを目的としています。この攻撃チェーンは、偽のワンタイムパスワードページとブランド化されたログインポータルを使用し、EmailJSを通じて取得したデータを流出させます。認証情報が盗まれた後、被害者は疑惑を減少させるために正規のDHLウェブサイトにリダイレクトされます。この作戦は、比較的軽量なインフラストラクチャに依存しつつ、全世界の消費者を対象としているように見えます。
調査
Forcepoint X-Labsはフィッシングメール、悪意あるリンク、クライアント側OTPを生成するJavaScriptを調査しました。その分析により、フィッシングキットがデバイスと地理位置情報を収集し、EmailJSを通じて攻撃者が管理するメールボックスに送信することが判明しました。研究者たちはサンドボックス環境で完全な攻撃フローを再現することができました。
緩和策
組織は怪しい送信者ドメインをブロックし、スプーフィングを示唆するDKIMアライメントの不一致を監視すべきです。セキュリティチームは、特定された悪意のあるドメインに解決するURLをフィルタリングまたはブロックする必要があります。また、EmailJSからの予期しない活動を監視し、怪しいペイロードが認証情報盗難の試みを浮上させる可能性があります。DHL関連アカウントに対してMFAを施行することで、もう一つの保護層を追加できます。
対応策
防御者はフィッシングキャンペーンのターゲットになったユーザーに通知し、漏洩したアカウントのパスワードをリセットするよう求めるべきです。悪意あるメールは隔離され、関連するドメインはメールおよびウェブゲートウェイでブロックされるべきです。観測されたURLパターンとEmailJSベースの流出手法を特定するために検出ルールも更新すべきです。
攻撃フロー
## シミュレーション実行
前提条件: テレメトリとベースラインプリフライトチェックが合格していること。
理由: このセクションでは、観測された検出ルールを引き起こすように設計された敵対者テクニック(TTP)の正確な実行を示します。コマンドとナラティブは特定されたTTPを直接反映させ、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のナラティブとコマンド:
攻撃者はDHLの認証情報を収集することを狙って、
cupelva.comドメイン(既知の似たもの)をスプーフィングし、最近のキャンペーンで使用された正確な件名行を持つメールを作成します。このメールを侵害された外部SMTPサーバーを通じて送信することで、メッセージがExchangeの受信トレイに届き、ルールの基準に一致するトランスポートログを生成します。 -
リグレッションテストスクリプト:
# シミュレーションされたフィッシングメール - 検出ルールをトリガーするはず $smtpServer = "smtp.malicious-host.com" # 外部侵入サーバー $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "DHL EXPRESS WAYBILL CONFIRMATION REQUIRED" Body = @" 親愛なる顧客様、
最近の出荷物のための送り状が確認を必要としています。下のリンクをクリックして詳細を確認してください:
https://malicious.example.com/verify
敬具、DHLエクスプレス “@ SmtpServer = $smtpServer } Send-MailMessage @msg
- **クリーンアップコマンド:**
powershell
# 被害者のメールボックスからテストメールを削除する (Exchange PowerShell)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"DHL EXPRESS WAYBILL CONFIRMATION REQUIRED"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false
## 規制回避評価と強化推奨策
| 潜在的な回避テクニック | 可能性 | ルールへの影響 | 緩和策 |
|---|---|---|---|
| 件名行を変更する(例:空白を追加、大小文字の変更) | 高い | ルールがイベントを見逃す | 大文字・小文字を区別しない正規表現とファジーキーワードマッチングを使用(subject|contains|regex: "DHLs+EXPRESS.*WAYBILL.*REQUIRED"). |
異なるスプーフィングされたドメインを使用する(例: dhl-express.co) |
高い | ルールがイベントを見逃す | DKIM / SPFの失敗検出を組み込み、送信者ドメインに関係なく、既知のブランド関連のキーワードを探します。 |
| 悪意あるリンクを埋め込むが、件名を変更しない | 中程度 | ルールは依然として発動(良い) | URLの評価チェックを追加して自信を高めます。 |
| 本文ではなく添付ファイルとして送信(T1192) | Low | ルールには影響なし(件名はまだ一致) | 受信したファイル名、MIMEタイプなどの添付ファイルメタデータを検査するようルールを拡張。 |
推奨事項
- 送信者の評価を拡大: 単一のハードコードドメインの代わりに、“dhl.com”ブランドに対してSPF / DKIMを含むメールをフラグし、DHL関連のキーワードを含むメールをすべてフラグします。
- ファジー件名マッチング: 正確な文字列マッチングの代わりに、バリエーション、ケースの違い、および一般的な難読化をキャプチャする正規表現に置き換えます。
- URL評価での強化: メッセージ本文からURLを解析し、既知の悪意あるホストに解決するリンクやURL短縮器を使用しているリンクがある場合はフラグを立てます。
- 添付ファイルのヒューリスティックを追加: ルールが
attack.t1192をタグ付けした際、2重拡張ファイルやDHL関連のフィッシングでよく使用されるスクリプトを検査するチェックを組み込みます。
これらの強化ステップを実装することで、レジリエンススコアを 4–5に向けて高め、単純な回避のリスクを減らしながら、誤検出率を低く保ちます。