Son derece organize bir Hizmet olarak kimlik avı işlemi (PhaaS) Araştırmacılar, başarıyı en üst düzeye çıkarmak için iki faktörlü kimlik doğrulama (2FA), QR kodları ve diğer gelişmiş kaçınma taktiklerinden yararlanan iş e-postası ihlali (BEC) saldırılarıyla finans şirketlerindeki Microsoft 365 hesaplarını hedef alıyor.
EclecticIQ’nun güvenlik analistleri Şubat ayında, finansal kurumları hedef alan geniş bir kimlik avı kampanyası keşfetti; bu kampanyada tehdit aktörleri, mağdurları kimlik avı URL’lerine yönlendirmek için PDF eklerine yerleştirilmiş QR kodlarını kullandı. bir blog yazısı Salı günü yayınlandı. Hedeflenen belirli kuruluşlar arasında Amerika ve Avrupa, Orta Doğu ve Afrika (EMEA) bölgelerindeki bankalar, özel finansman firmaları ve kredi birliği hizmet sağlayıcıları yer alıyordu.
EclecticIQ sonunda kampanyanın kökenini takip etti PhaaS platformu Eklektik IQ tehdit istihbaratı analisti Arda Büyükkaya, gönderisinde “Telegram botları aracılığıyla erişilebilen kullanıcı dostu bir arayüz üzerinden çalışan” ONNX Store adını verdi.
ONNX hizmetinin önemli bir kısmı 2FA bypass mekanizması Büyükkaya, tespit olasılığını azaltmak ve saldırıların başarı oranını artırmak için kurbanlardan gelen 2FA isteklerini şifrelenmiş JavaScript kodu kullanarak engelliyor. Ayrıca saldırılarda iletilen kimlik avı sayfaları, yazım hatası Microsoft 365 oturum açma arayüzlerine yakından benzeyecek ve bu da onların kimlik doğrulama ayrıntılarını girmeleri için hedefleri kandırma olasılıklarını artıracaktır.
ONNX Saldırısının Anlık Görüntüsü
Saldırıda kullanılan tipik bir e-posta, bir tehdit aktörünün çalışana, çalışan el kitabı veya maaş havale makbuzu gibi insan kaynaklarıyla ilgili bir PDF belgesi gönderdiğini gösteriyor. Belge, Adobe veya Microsoft 365’in kimliğine bürünerek alıcıyı, tarandıktan sonra kurbanları kimlik avı açılış sayfasına yönlendiren bir QR kodu aracılığıyla eki açması için kandırmaya çalışıyor.
Büyükkaya, QR kod kullanımının, uç nokta tespitinden kaçınmak için giderek yaygınlaşan bir taktik olduğunu belirterek şunları kaydetti: “QR kodları genellikle cep telefonları tarafından tarandığından, birçok kuruluş, çalışanların mobil cihazlarında tespit veya önleme yeteneklerinden yoksundur ve bu tehditlerin izlenmesini zorlaştırmaktadır. “
Saldırganın kontrol ettiği açılış sayfası, oturum açma kimlik bilgilerini çalmak ve 2FA kimlik doğrulaması Analistler ortadaki rakip (AiTM) yöntemini kullanan kodlar buldu.
Büyükkaya, “Kurbanlar kimlik bilgilerini girdiğinde, kimlik avı sunucusu çalınan bilgileri WebSockets protokolü aracılığıyla topluyor ve bu protokol, kullanıcının tarayıcısı ile sunucu arasında gerçek zamanlı, iki yönlü iletişime olanak tanıyor” diye yazdı. Bu şekilde saldırganların, sık HTTP isteklerine ihtiyaç duymadan çalınan verileri hızlı bir şekilde yakalayıp iletebileceğini, bunun da kimlik avı operasyonunu daha verimli ve tespit edilmesini zorlaştıracağını belirtti.
Başka bir PhaaS operatörü, iş adamı, Büyükkaya, aynı zamanda benzer bir AiTM tekniği ve Cloudflare CAPTCHA’yı içeren çok faktörlü kimlik doğrulama (MFA) bypass’ı kullandığını, bunun da kötü niyetli aktörlerin birbirlerinden nasıl öğrendiklerini ve buna göre stratejiler uyarladıklarını gösterdiğini söyledi.
Araştırmacılar, ONNX’in hem Telegram altyapısında hem de reklamcılık yöntemlerinde Caffeine adlı bir kimlik avı kitiyle örtüştüğünü (ilk olarak 2022’de Mandiant’taki araştırmacılar tarafından keşfedildi), yani ElecticIQ’ya göre bu operasyonun yeniden markalanması olabileceğini buldu.
Büyükkaya, diğer bir senaryonun ise Kafein geliştirdiğine ve bakımını yaptığına inanılan Arapça konuşan tehdit aktörü MRxC0DER’in ONNX Mağazası’na müşteri desteği sağladığı, daha geniş operasyonun ise “büyük olasılıkla merkezi yönetimi olmayan yeni bir kuruluş tarafından bağımsız olarak yönetildiği” yönünde olduğunu söyledi. yazdı.
JavaScript Şifreleme Kaçınma Düzeyini Artırıyor
ONNX’teki başka bir tespit karşıtı önlem e-dolandırıcılık kit, sayfa yükleme sırasında kendi şifresini çözen şifrelenmiş JavaScript kodunun kullanılmasıdır ve temel bir JavaScript karşıtı hata ayıklama özelliği içerir. Analize göre “Bu, kimlik avı önleme tarayıcılarına karşı bir koruma katmanı ekliyor ve analizi karmaşıklaştırıyor.”
EclecticIQ araştırmacıları, şifresi çözülmüş JavaScript kodunda, özellikle çalmak için tasarlanmış bir işlevsellik gözlemledi 2FA Kurbanlar tarafından girilen jetonlar ve bunları saldırgana ileten saldırgan, çalınan kimlik bilgilerini ve jetonları gerçek zamanlı olarak Microsoft 365’te oturum açmak için kullanır.
Büyükkaya, “Bu gerçek zamanlı kimlik bilgileri aktarımı, saldırganın, 2FA belirtecinin süresi dolmadan önce kurbanın hesabına yetkisiz erişim elde etmesine ve çok faktörlü kimlik doğrulamayı atlatmasına olanak tanıyor” diye yazdı.
ONNX Kimlik Avı Saldırılarını Azaltma ve Önleme
ElecticIQ, ONNX Store tarafından kullanılan belirli taktiklerle mücadele için karşı önlemler sağladı. PDF belgelerindeki gömülü QR kodlarından kaynaklanan tehditleri azaltmak için kuruluşların, e-posta sunucusu ayarlarında doğrulanmamış harici kaynaklardan gelen PDF veya HTML eklerini engellemesi gerekir. Ayrıca çalışanları, bilinmeyen kaynaklardan gelen QR kodlarının taranmasıyla ilgili riskler konusunda da eğitebilirler.
Mücadele etmek için yazım hatası Tehdit aktörü tarafından Microsoft’un kimliğine bürünmek için kullanılan etki alanları, kuruluşların uygulayabileceği alan adı sistemi güvenlik uzantıları (DNSSEC)Alan adlarını yazım hatası da dahil olmak üzere birçok siber tehdide karşı koruyan .
Savunmacıların da bu durumla mücadele etmek için alabilecekleri önlemler var. 2FA tokenlarının çalınması2FA için FIDO2 donanım güvenlik anahtarlarının uygulanması gibi; Oturum açma belirteçleri için, siber saldırganın bunları kullanma fırsat penceresini sınırlayan kısa bir son kullanma süresi belirlemek; ve birden fazla başarısız oturum açma girişimi veya olağandışı konumlardan oturum açma gibi olağandışı davranışları tespit etmek ve bunlara karşı uyarıda bulunmak için güvenlik izleme araçlarını kullanmak.