ONNX Store adı verilen yeni bir hizmet olarak kimlik avı (PhaaS) platformu, PDF eklerindeki QR kodlarını kullanan finansal firmalardaki çalışanların Microsoft 365 hesaplarını hedefliyor.
Platform, hem Microsoft 365 hem de Office 365 e-posta hesaplarını hedefleyebilir ve Telegram botları aracılığıyla çalışır ve iki faktörlü kimlik doğrulama (2FA) atlama mekanizmalarına sahiptir.
Etkinliği keşfeden EclecticIQ araştırmacıları, ONNX’in Arapça konuşan tehdit aktörü MRxC0DER tarafından yönetilen Kafein kimlik avı kitinin yeniden markalanmış bir versiyonu olduğuna inanıyor.
Mandiant, kafeini Ekim 2022’de platformun Batılı hizmetler yerine Rus ve Çin platformlarını hedef almasıyla keşfetti.
ONNX saldırıları
EclecticIQ, Şubat 2024’te bankalardaki, kredi birliği hizmet sağlayıcılarındaki ve özel finansman şirketlerindeki çalışanları hedef alan, kötü amaçlı QR kodları içeren PDF ekleri içeren kimlik avı e-postaları dağıtan ONNX saldırılarını gözlemledi.
E-postalar, Adobe veya Microsoft temalı PDF’leri açmak için maaş güncellemelerini kullanarak insan kaynakları (İK) departmanlarının kimliğine bürünüyor.
QR kodunun bir mobil cihazda taranması, hedeflenen kuruluşlardaki kimlik avı korumalarını atlayarak kurbanları meşru Microsoft 365 oturum açma arayüzünü taklit eden kimlik avı sayfalarına yönlendirir.
Kurbandan, sahte giriş sayfasına giriş bilgilerini ve 2FA belirtecini girmesi istenir ve kimlik avı sitesi bu ayrıntıları gerçek zamanlı olarak yakalar.
Çalınan kimlik bilgileri ve 2FA belirteci, WebSockets aracılığıyla saldırganlara anında aktarılarak, kimlik doğrulama ve MFA tarafından doğrulanan belirtecin süresi dolmadan hedefin hesabını ele geçirmelerine olanak tanır.
Saldırganlar buradan, e-postalar ve belgeler gibi hassas bilgileri sızdırmak için ele geçirilen e-posta hesabına erişebilir veya kötü amaçlı yazılım ve fidye yazılımı saldırıları için kimlik bilgilerini karanlık ağda satabilir.
Sağlam kimlik avı platformu
Hizmeti kullanan siber suçluların bakış açısından ONNX ilgi çekici ve uygun maliyetli bir platformdur.
Operasyonların merkezi, botların müşterilerin kimlik avı operasyonlarını sezgisel bir arayüz aracılığıyla yönetmelerine olanak sağladığı Telegram’dadır. Ayrıca kullanıcılara her türlü sorunda yardımcı olacak özel destek kanalları bulunmaktadır.
Microsoft Office 365 kimlik avı şablonları özelleştirilebilir ve hedeflere kimlik avı e-postaları göndermek için web posta hizmetleri mevcuttur.
ONNX kimlik avı kiti aynı zamanda sayfa yükleme sırasında kendi şifresini çözen şifrelenmiş JavaScript kodu kullanır ve kimlik avı önleme araçları ve tarayıcılar tarafından tespit edilmekten kaçınmak için bir gizleme katmanı ekler.
Ek olarak ONNX, etki alanlarının kapatılmasını önlemek için anti-bot CAPTCHA ve IP proxy’si de dahil olmak üzere Cloudflare hizmetlerini kullanır.
Operasyonların rapor ve yayından kaldırmalar nedeniyle kesintiye uğramamasını sağlayan kurşun geçirmez barındırma hizmetinin yanı sıra, kampanyaların güvenli bir şekilde yönetilmesi için uzak masaüstü protokolü (RDP) hizmetleri de bulunmaktadır.
ONNX, aşağıda özetlenen dört abonelik katmanı sunar:
- Web Postası Normal (150$/ay): Özelleştirilebilir metin öğeleri, bir şifre döngüsü, Telegram ID entegrasyonu, özel yönlendirme bağlantıları ve özel alan adı logolarının otomatik getirilmesini sunar.
- Ofis Normal (200$/ay): Gerçek giriş, tek kullanımlık şifreler, ülke engelleme, özel sayfa başlıkları, şifre döngüleri, Telegram entegrasyonu ve özel logolar içerir.
- Ofis Yönlendirmesi (200$/ay): 2FA yönlendirmeleri için joker karakterler, tamamen algılanamayan gelen kutusu bağlantıları, özel sayfa başlıkları, dinamik kodlar ve otomatik yakalama e-posta işlevi sağlar.
- Office 2FA Çerez Hırsızı (400$/ay): 2FA çerezlerini yakalar, çevrimdışı 2FA’yı destekler ve özel sayfa başlıkları, Telegram entegrasyonu, dinamik kodlar ve bağlantı istatistiklerini içerir.
Sonuç olarak ONNX Mağazası, Microsoft 365 hesap sahipleri için, özellikle de daha geniş finansal hizmet sektörlerinde faaliyet gösteren şirketler için tehlikeli bir tehdittir.
Gelişmiş kimlik avı saldırılarına karşı korunmak için yöneticilerin, doğrulanmamış kaynaklardan gelen PDF ve HTML eklerini engellemesi, güvenilmeyen veya süresi dolmuş sertifikalara sahip HTTPS web sitelerine erişimi engellemesi ve yüksek riskli, ayrıcalıklı hesaplar için FIDO2 donanım güvenlik anahtarlarını ayarlaması önerilir.
EclecticIQ, kimlik avı URL’lerine yol açan QR kodları içeren kötü amaçlı PDF dosyalarının tespit edilmesine yardımcı olmak için raporunda YARA kurallarını da paylaştı.