脅威アクターは、これまで文書化されていなかったフィッシング・アズ・ア・サービス（PhaaS）プラットフォーム「VENOM」を活用し、複数のセクターにおけるCスイート幹部の認証情報を標的にしています。 このオペレーションは、少なくとも昨年11月から活動しており、CEO、CFO、VPなどの役職にある個人を特に標的にしています。 **VENOM**は、公開チャネルやアンダーグラウンドフォーラムでの宣伝がなく、クローズドアクセスプラットフォームであるようで、セキュリティ研究者への露出を制限しています。 ### VENOMの攻撃チェーン **Abnormal**の研究者らが観測したフィッシングメールは、**Microsoft SharePoint**のドキュメント共有通知を装い、社内コミュニケーションを模倣しています。 メッセージは高度にパーソナライズされており、偽のCSSクラスやコメントのようなランダムなHTMLノイズが組み込まれています。攻撃者はまた、ターゲットに合わせて調整された偽のメールスレッドを挿入し、信頼性を高めています。 UnicodeでレンダリングされたQRコードが、被害者がスキャンするために提供されます。この戦術は、スキャンツールを回避し、攻撃をモバイルデバイスに移行させるように設計されています。  「ターゲットのメールアドレスは、URLフラグメント、つまり#記号の後の部分で、二重にBase64エンコードされています」と、**Abnormal**の研究者は説明しています。 「フラグメントはHTTPリクエストで送信されないため、ターゲットのメールはサーバーサイドのログやURLレピュテーションフィードから見えなくなります。」 QRコードをスキャンすると、被害者はセキュリティ研究者やサンドボックス化された環境をフィルタリングするランディングページに誘導され、正規のターゲットのみがフィッシングプラットフォームにリダイレクトされるようにします。攻撃者の関心外と判断されたユーザーは、疑いを避けるために正規のウェブサイトにリダイレクトされます。 テストを通過したユーザーは、リアルタイムで**Microsoft**のログインフローをプロキシし、認証情報と多要素認証（MFA）コードを**Microsoft** APIに中継し、セッショントークンをキャプチャする認証情報収集ページに誘導されます。  アドバーサリー・イン・ザ・ミドル（AiTM）技術に加えて、**Abnormal**は、被害者が不正なデバイスに**Microsoft**アカウントへのアクセスを承認するように騙されるデバイスコードフィッシング戦術も観測しています。  この手法は、その有効性とパスワードリセットへの耐性から人気が高まっており、少なくとも11のフィッシングキットがこれを提供しています。 どちらの手法でも、**VENOM**は認証プロセス中に迅速に永続的なアクセスを確立します。AiTMフローでは、被害者のアカウントに新しいデバイスを登録します。デバイスコードフローでは、アカウントへのアクセスも提供するトークンを取得します。 研究者らは、MFAだけではもはや十分な防御策ではないと強調しています。Cスイート幹部は、FIDO2認証を採用し、不要な場合はデバイスコードフローを無効にし、トークンの悪用をブロックするためのより厳格な条件付きアクセスポリシーを実装する必要があります。