Google AMPが企業ユーザーを標的にしたフィッシング攻撃で悪用される

フィッシング は最も普及している攻撃者の手法の一つであり続けています フィッシングキャンペーンが世界中で継続的に急増していることへの対応として、関連する脅威に対する検出コンテンツの需要が高まっています。サイバー防御者たちは、Google Accelerated Mobile Pages (AMP) を悪用し、検出を回避する新しい敵対者戦術を適用するフィッシング攻撃ベクトルを活用する最新の悪意のあるキャンペーンを観察しています。

Google AMPを悪用するフィッシング攻撃を検出する

SOC Prime Platform for collective cyber defenseは、脅威調査を効率化し、新しいフィッシング戦術を活用する攻撃を特定できるようにするため、関連する検出コンテンツを集約し、ユーザーに脅威検出の範囲、可視性、エンジニアリング能力を向上させる革新的なツールを提供します。

フィッシングに悪用される可能性のあるGoogle AMP（プロキシ経由）

上記の専用Sigmaルールは、Google AMPを悪用した可能性のあるフィッシング攻撃を検出することを目的としています。この検出は、初期アクセス戦術に対応する17のSIEM、EDR、XDR、およびデータレイクソリューションと互換性があり、対応するサブテクニックとしてスピアフィッシングリンク（T1566.002）が含まれています。

攻撃者を出し抜き、フィッシング脅威の雪崩に対応するため、SOC Primeはサイバーセキュリティの姿勢をリスク最適化するのに役立つ、キュレーションされた検出アルゴリズムのコレクションを提供します。以下のExplore Detectionsボタンをクリックすると、フィッシングに関連する悪意のある活動を検出することを目的とした広範な検出群にアクセスできます。脅威調査を効率化するために、チームはATT&CKやCTIの参照を含む関連メタデータを深堀りすることもできます。

検出を探索する

Google AMPを悪用するフィッシング攻撃分析

新しいフィッシングキャンペーンがサイバー脅威の領域で注目を集めています。攻撃者は、Google AMPと呼ばれる人気のHTMLフレームワークを悪用し、企業ユーザーを標的に新しいフィッシング戦術を活用しています。これらの敵対者キャンペーンでは、ハッカーはGoogle AMP URLを悪用して検出を回避し、信頼されたドメインの悪用、電子メールリダイレクション、画像ベースのフィッシングメールの悪用など、電子メールのセキュリティ保護を回避するために他の多様な攻撃者TTPを活用しています。

Cofenseの調査では Google AMP URLを悪用したフィッシング攻撃が2023年5月にサイバー脅威の風景に現れたことが明らかになりました。最新のフィッシングキャンペーンでは、敵対者はGoogle.comやGoogle.co.ukにホストされているサイトを利用し、信頼されたドメインとされるこれらを利用してより多くのユーザーを誘い込み、悪意のある意図を遂行しています。脅威アクターは主に企業従業員に対する攻撃を集中させ、ログイン認証情報を盗み、セキュアなメールゲートウェイの回避に成功しています。

SOC Primeに依頼して、現在進行中のサイバー攻撃で使用されているTTPに対する検出コンテンツと、積極的な脅威に基づいた防御を強化する革新的なツールを完全に装備してください。 SOC Primeプラットフォームに登録する ことで、サイバー防御能力を強化し、最終的にセキュリティ投資の価値を最大化し、SecOpsチームの貴重な時間を節約できます。