Daha önce belgelenmemiş bir “kimlik avı imparatorluğu”, son altı yılda Microsoft 365 iş e-posta hesaplarını ele geçirmeyi amaçlayan siber saldırılarla ilişkilendirildi.
“Tehdit aktörü, W3LL Store adında gizli bir yer altı pazarı oluşturdu. Bu pazar, MFA’yı atlatmak için tasarlanmış W3LL Panel adlı özel bir kimlik avı kitinin yanı sıra diğer 16 tamamen özelleştirilmiş aracı satın alabilecek en az 500 tehdit aktöründen oluşan kapalı bir topluluğa hizmet verdi. Group-IB, The Hacker News ile paylaştığı bir raporda, “iş e-postası gizliliğinin ihlali (BEC) saldırıları” dedi.
Kimlik avı altyapısının Ekim 2022 ile 2022 arasında başta ABD, İngiltere, Avustralya, Almanya, Kanada, Fransa, Hollanda, İsviçre ve İtalya olmak üzere 56.000’den fazla kurumsal Microsoft 365 hesabını hedef aldığı ve bunlardan en az 8.000’ini ele geçirdiği tahmin ediliyor. Temmuz 2023, operatörlerine 500.000 dolar yasa dışı kar sağladı.
Kimlik avı çözümü kullanılarak sızılan öne çıkan sektörlerden bazıları arasında üretim, BT, danışmanlık, finansal hizmetler, sağlık hizmetleri ve hukuk hizmetleri yer alıyor. Group-IB, aynı dönemde W3LL Paneline atfedilen 850’ye yakın benzersiz kimlik avı web sitesi tespit ettiğini söyledi.
Singapur merkezli siber güvenlik şirketi, W3LL’yi, özel kimlik avı araçlarından e-posta listelerine ve güvenliği ihlal edilmiş sunuculara erişime kadar geniş bir hizmet yelpazesi sunan, hepsi bir arada bir kimlik avı aracı olarak tanımladı ve kimlik avının yükseliş eğiliminin altını çizdi. hizmet (PhaaS) platformları.
2017’den bu yana aktif olan kitin arkasındaki tehdit aktörü, dikkatini kurumsal e-posta hesaplarını tehlikeye atmak için kimlik avı araçları kurmaya yöneltmeden önce, toplu e-posta spam’leri (PunnySender ve W3LL Sender adında) için özel yazılım geliştirme konusunda hikayeli bir geçmişe sahip.
W3LL’nin kötü amaçlı yazılım cephaneliğinin temel bileşenlerinden biri, çok faktörlü kimlik doğrulama (MFA) korumalarını atlayabilen ortadaki düşman (AiTM) kimlik avı kitidir. Üç aylık abonelik için 500 $ karşılığında satışa sunuluyor ve ardından aylık 150 $ ücret alınıyor.
Panel, kimlik bilgilerini toplamanın yanı sıra, otomatik web içeriği tarayıcılarından kaçınmak ve kimlik avı ve kötü amaçlı yazılım kampanyalarının ömrünü uzatmak için anti-bot işlevselliğini de içeriyor.
W3LL kimlik avı kitini kullanan BEC saldırıları, LOMPAT olarak adlandırılan yardımcı bir yardımcı program kullanılarak e-posta adreslerinin doğrulanması ve kimlik avı mesajlarının iletilmesi için bir hazırlık aşamasını gerektirir.
Sahte bağlantıyı veya eki açan kurbanlar, izin verilmeyen ziyaretçileri (Wikipedia’ya yönlendirilen) filtrelemek için anti-bot komut dosyasından geçirilir ve sonunda kimlik bilgilerini ve oturumu ele geçirmek için AitM taktiklerini kullanan bir yönlendirme zinciri aracılığıyla onları kimlik avı açılış sayfasına götürür. kurabiye.
Bu erişime sahip olan tehdit aktörü daha sonra MFA’yı tetiklemeden hedefin Microsoft 365 hesabında oturum açar, CONTOOL adlı özel bir araç kullanarak ana bilgisayarda hesap keşfini otomatikleştirir ve e-postaları, telefon numaralarını ve diğer bilgileri toplar.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Becerilerinizi Güçlendirin
Kötü amaçlı yazılım yazarının benimsediği dikkate değer taktiklerden bazıları, çalıntı oturum çerezlerini depolamak için bir dosya paylaşım hizmeti olan Hastebin’in yanı sıra kimlik bilgilerini suç aktörlerine sızdırmak için Telegram ve e-postanın kullanılmasıdır.
Açıklama, Microsoft’un, kullanıcıların geniş ölçekte yeniden kimlik doğrulaması olmadan ayrıcalıklı sistemlere erişmesine izin vermek için EvilGinx, Modlishka, Muraena, EvilProxy ve Greatness gibi PhaaS platformları aracılığıyla dağıtılan AiTM tekniklerinin yaygınlaştığı konusunda uyarmasından birkaç gün sonra geldi.
“W3LL Store’u ve ürünlerini diğer yer altı pazarlarından ayıran şey, W3LL’nin yalnızca bir pazar yeri değil, aynı zamanda BEC’in neredeyse tüm öldürme zincirini kapsayan ve siber suçlular tarafından kullanılabilen tam uyumlu özel bir araç seti ile karmaşık bir kimlik avı ekosistemi yaratmasıdır. tüm teknik beceri seviyeleri,” dedi Group-IB’den Anton Ushakov.
“Kimlik avı araçlarına yönelik artan talep, giderek artan sayıda satıcının ilgisini çeken gelişen bir yer altı pazarı yarattı. Bu rekabet, suç operasyonlarına yönelik yeni özellikler ve yaklaşımlar aracılığıyla kötü amaçlı araçlarının verimliliğini artırmaya çalışan kimlik avı geliştiricileri arasında sürekli yeniliği teşvik ediyor. “