Siber güvenlik araştırmacıları, çalınan bilgilerin geçerli çevrimiçi hesaplarla ilişkili olmasını sağlayan yeni bir kimlik bilgisi phing şemasına dikkat çekiyorlar.
Teknik, gerçek zamanlı e-posta doğrulaması kullandığını söylediği Cofense tarafından Precision-Validating Kimlik avı olarak adlandırılmıştır, böylece sahte giriş ekranlarına yalnızca belirli bir yüksek değerli hedef kümesi sunulur.
Şirket, “Bu taktik, tehdit aktörlerine yalnızca önceden hasat edilmiş belirli bir geçerli e-posta hesapları listesine girdikleri için kullanılabilir kimlik bilgileri elde etme konusunda daha yüksek bir başarı oranı vermekle kalmıyor.” Dedi.
“Sprey-Pray” kimlik bilgisi hasat kampanyalarının aksine, tipik olarak spam e-postalarının kurbanların giriş bilgilerini ayrım gözetmeyen bir şekilde elde etmek için toplu olarak dağılımını içeren son saldırı taktiği, mızrak akışını sadece saldırganların aktif, meşru ve yüksek değere doğru olarak doğrulandığı e-posta adresleriyle bir sonraki seviyeye taşıyarak bir sonraki seviyeye taşıyor.
Bu senaryoda, bir kimlik avı açılış sayfasına kurbanın girdiği e -posta adresi, saldırganın veritabanına karşı doğrulanır, ardından sahte giriş sayfası görüntülenir. E -posta adresi veritabanında yoksa, sayfa bir hata döndürür veya kullanıcı güvenlik analizinden kaçınmak için Wikipedia gibi zararsız bir sayfaya yönlendirilir.
Kontroller, şifre yakalama adımına geçmeden önce e-posta adresini onaylayan API- veya JavaScript tabanlı bir doğrulama hizmetini kimlik avı kitine entegre ederek gerçekleştirilir.
CoFense, “Saldırının verimliliğini ve çalınan kimlik bilgilerinin gerçek, aktif olarak kullanılan hesaplara ait olma olasılığını artırarak, yeniden satış veya daha fazla sömürü için hasat edilen verilerin kalitesini artırıyor.” Dedi.
“Otomatik güvenlik tarayıcıları ve kum havuzu ortamları da bu saldırıları analiz etmek için mücadele ediyor çünkü doğrulama filtresini atlayamıyorlar. Bu hedeflenen yaklaşım saldırgan riskini azaltır ve kimlik avı kampanyalarının ömrünü uzatır.”
Geliştirme, siber güvenlik şirketi, kimlik bilgilerini almak ve kötü amaçlı yazılım sunmak için bir cazibe olarak dosya silme hatırlatıcılarını kullanan bir e -posta kimlik avı kampanyasının ayrıntılarını açıkladı.
İki yönlü saldırı, görünüşte Files.fm adlı meşru bir dosya depolama hizmetinden silinmesi planlanan bir PDF dosyasına işaret eden gömülü bir URL’den yararlanır. Mesaj alıcısı bağlantıyı tıklarsa, söz konusu PDF dosyasını indirebilecekleri Mali Files.fm bağlantısına alınır.
Ancak, PDF açıldığında, kullanıcılara dosyayı önizlemek veya indirmek için iki seçenek sunulur. Birincisini tercih eden kullanıcılar, kimlik bilgilerini çalmak için tasarlanmış sahte bir Microsoft giriş ekranına götürülür. İndirme seçeneği seçildiğinde, Microsoft OneDrive olduğunu iddia eden bir yürütülebilir ürün bırakır, ancak gerçekte ScreAnconnect uzak masaüstü yazılımı ConnectWise’dandır.
“Tehdit oyuncusu, kullanıcıyı tuzağa düşürmek için saldırıyı kasıtlı olarak tasarladı ve onları hangi ‘zehir’ için düşeceklerini seçmeye zorladı.” Dedi. “Her iki seçenek de benzer hedeflerle aynı sonuca yol açıyor, ancak bunlara ulaşmak için farklı yaklaşımlar.”
Bulgular ayrıca, başlangıç erişimini elde etmek ve kalıcılık oluşturmak için VISH, uzaktan erişim takımlarını ve karavan kullanım tekniklerini birleştiren sofistike bir çok aşamalı saldırının keşfini izlemektedir. Aktivitede gözlemlenen tradecraft, Storm-1811 (aka STAC5777) olarak izlenen kümelerle tutarlıdır.
OnTinue, “Tehdit oyuncusu, bir Microsoft Teams mesajı aracılığıyla kötü niyetli bir PowerShell yükü sağlayarak maruz kalan iletişim kanallarını kullandı ve ardından çevreye uzaktan erişmek için hızlı yardım kullandı.” Dedi. “Bu, imzalı ikili dosyaların (örneğin, TeamViewer.exe), kenar yüklü kötü amaçlı bir DLL (TV.dll) ve nihayetinde Node.js ile yürütülen JavaScript tabanlı bir C2 arka kapısının dağıtılmasına yol açtı.”