Süper yönetici kimlik bilgilerini çalmak için tasarlanmış mızrak kimlik avı saldırılarıyla Screenconnect bulut yöneticilerini hedeflemeyi hedefleyen sofistike bir kimlik bilgisi hasat kampanyası ortaya çıktı.
MCTO3030 olarak adlandırılan devam eden operasyon, 2022’den bu yana tutarlı taktikleri sürdürürken, kampanya çalışması başına 1.000 e-posta gönderen düşük hacimli dağıtım stratejileri yoluyla büyük ölçüde tespit edilmedi.
Kampanya, Screenconnect ortamlarında yüksek ayrıcalıklara sahip yöneticiler, yöneticiler ve güvenlik personeli de dahil olmak üzere üst düzey BT uzmanlarını hedefliyor.
.webp)
Saldırganlar, olağandışı IP adreslerinden veya coğrafi konumlardan şüpheli giriş etkinliği talep eden ikna edici kimlik avı e -postaları sunmak için Amazon basit e -posta hizmet hesaplarından yararlanır ve kurbanlardan derhal harekete geçme aciliyet yaratır.
Mimecast analistleri, bu kalıcı tehdidi özellikle fidye yazılımı operasyonlarıyla görünen bağlantısı nedeniyle, Qilin fidye yazılım iştirakleri tarafından benzer hedefleme modellerini gösteren araştırmalarla tanımladılar.
Hasat edilen süper yönetici kimlik bilgileri, sonraki fidye yazılımı dağıtım için başlangıç erişim vektörleri olarak hizmet ederek saldırganların kötü niyetli screAncect istemcilerini aynı anda birden fazla uç noktaya itmesini sağlar.
Kampanya, meşru ConnectWise portallarının ikna edici taklitlerini oluşturmak için connectwise.com.ar, connectwise.com.be ve connectwise.com.cm gibi alanlar dahil olmak üzere screenconnect temalı adlandırma kurallarına sahip ülke kodu üst düzey alan adlarını kullanıyor.
.webp)
Mağdurlar kimlik avı e -postalarındaki “Güvenliği İnceleme” düğmesini tıkladıktan sonra, otantik ekran bağlantılarını yakından taklit eden sofistike sahte oturum açma sayfalarına yönlendirilirler.
Ortada gelişmiş düşman teknikleri
Bu kampanyanın teknik karmaşıklığı, hem kimlik bilgilerini hem de çok faktörlü kimlik doğrulama kodlarını gerçek zamanlı olarak ele geçirmek için tasarlanmış açık kaynaklı bir araç olan EvilGinx Framework’ü kullanarak ortada düşman kimlik avı uygulanmasına odaklanmaktadır.
Bu özellik, saldırganların birçok kuruluşun güvenlik için güvendiği modern kimlik doğrulama korumalarını atlamasına olanak tanır.
EvilGinX çerçevesi, kurban ve meşru kimlik doğrulama hizmeti arasında konumlandırarak, kimlik doğrulama isteklerini gerçek screenconnect portalına iletirken giriş kimlik bilgilerini yakalayarak çalışır.
Bu teknik, zamana duyarlı MFA jetonlarının hasat edilmesini sağlar ve saldırganların çok faktörlü kimlik doğrulaması etkinleştirildiğinde bile uzlaşmış hesaplara kalıcı erişimi sürdürmesine izin verir.
Amazon SES altyapısının tutarlı kullanımı, güvenilir bulut hizmetleri aracılığıyla geleneksel e-posta güvenlik kontrollerini atlarken, kampanyanın operasyonel sofistike ve uzun vadeli stratejik planlamayı gösteren yüksek teslim edilebilirlik oranları sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.