Siber güvenlik araştırmacıları yakın zamanda kötü şöhretli W3LL kimlik avı kitinden yararlanan sofistike bir kimlik avı kampanyası ortaya çıkardılar.
Başlangıçta 2022’de Grup-IB tarafından tanımlanan W3LL, W3LL Mağazası olarak bilinen benzersiz bir pazar tarafından desteklenen bir Hizmet Olarak Kimlik Avı (PaaS) aracı olarak kendini cezai ekosistemde farklılaştırıyor.
Bu pazar, tehdit aktörlerinin, özel kimlik avı kampanyaları yapmak için gereken işlevleri ve bileşenleri seçici olarak satın almalarını sağlar, bu da onu geleneksel hazır kitlerden daha erişilebilir ve uyarlanabilir hale getirir.
.png
)
Hizmet Olarak Gelişmiş Kimlik Yardım Kampanyası
Kampanyanın birincil hedefi Microsoft 365-özellikle görünüm-login kimlik bilgilerini, orta-yarık yarık (AITM) teknikleri aracılığıyla toplar.
Bu taktikler, siber suçluların çok faktörlü kimlik doğrulama korumalarını etkili bir şekilde atlayan oturum çerezlerini kesmesini ve kaçırmasını sağlar.
Geçerli oturum belirteçlerine erişerek, saldırganlar kurumsal ortamlara sızabilir ve güçlü kimlik doğrulama mekanizmalarının bulunduğu senaryolarda bile kalıcılığı koruyabilir.
Hunt araştırma ekibi, Adobe’nin paylaşılan dosya hizmetini taklit eden aldatıcı bir web sayfası kullanan aktif bir kimlik avı kampanyası belirledi.
Paylaşılan bir dosya iddialarıyla çekilen mağdurlardan, sözde önemli belgeyi almak için Outlook kimlik bilgilerini göndermeleri istenir.
Klonlanmış Adobe Giriş sayfası, gönderenin adı (olgun, hedeflenen kampanyalarda daha yaygın olan bir özellik) gibi kişiselleştirmede hala eksik olsa da, kullanıcıların tanınmış markalara ve hizmetlere olan güvenini kullanmak için kanıtlanmış sosyal mühendislik teknikleri kullanır.
Teknik analiz
Bir sunucudaki kampanyaya atfedilen açık bir dizin, W3LL kiti dağıtımının güçlü bir göstergesi olarak hizmet veren “OV6” başlıklı birden fazla klasör ortaya çıkardı.
Analistlere göre, W3LL kimlik avı kiti tipik olarak kontrol panelleri için bir “/OV6” yolu kullanır.
Bu dizinler içinde, kimlik bilgisi hasat ve arka uç işlemlerini yöneten yoğun gizlenmiş PHP dosyaları da dahil olmak üzere çekirdek kimlik avı altyapısı saklanır.
Kit, PHP kodu şifreleme ve gizleme için IonCube gibi araçlara dayanarak, ters mühendislik çabalarını karmaşıklaştırıyor ve güvenlik profesyonellerinin analizini engelliyor.
Muayene sonrasında araştırmacılar, sahte giriş istemine herhangi bir kimlik bilgisinin girilmesinin, özellikle uzak bir PHP komut dosyasına yönelik bir sonrası isteği ile sonuçlandığını keşfettiler, wazzy.php Teffcopipe’de barındırıldı[.]com.
Bu komut dosyası, çalınan hesap ayrıntılarının işlenmesinden ve depolanmasından ve kimlik bilgisi yeniden satış gibi daha fazla eylemin potansiyel olarak kolaylaştırılmasından veya tehlikeye atılan hesaplardan takip kimlik avı saldırılarını mümkün kılmaktan sorumludur.
Kit’in “OV6_Encoded” dizininin ve “Config.php” gibi ilişkili yapılandırma dosyalarının ek olarak incelenmesi, platformun modüler ve ölçeklenebilir doğasını doğruladı.
Yapılandırma, kitin işlemini, hedef seçimi ve hasat edilen kimlik bilgilerinin eksfiltrasyonunu yöneten parametreler içerir.
Kampanyanın altyapısı ayrıca kurbanlara algılanan meşruiyet verebilecek ve basit tarayıcı tabanlı güvenlik uyarılarını atlayabilecek geçerli bir Let’s Crypt sertifikası kullanıyor.
W3LL kimlik avı kiti, bir hizmet olarak kimlik avında önemli bir artışı temsil eder ve siber suçlular sadece etkili saldırı araçları değil, aynı zamanda özel bir hizmet modeli de sunar.
MFA’yı atlatma ve büyük ölçekli kimlik bilgisi hırsızlığını otomatikleştirme yeteneği, özellikle Microsoft’un e-posta ve üretkenlik ekosistemine bağımlı olanlar için ciddi bir tehdit oluşturmaktadır.
Savunucuların gelişmekte olan kampanyalarda güncel kalmaları ve kimlik avı bilincine odaklanan çalışan eğitimine yatırım yapmaları istenir.
Çalışanlara genel mesajlaşma veya tanıdık olmayan alanlar kullanan e -postaları ve açılış sayfalarını belirlemeleri öğretilmelidir.
Güvenlik uzmanları, kimlik avı kitleri tarafından kaldırılabilecek veya hedeflenebilecek açık dizinleri proaktif olarak tanımlamak için Hunt’un açık dizin paletli araçlarından yararlanabilir.
W3LL gibi kimlik avı kitleri gelişmeye devam ettikçe, etkili tespit ve hafifletme stratejileri tasarlamak için teknik temellerini anlamak şarttır.
Bu durumda, uzlaşma göstergeleri (IOCS) ve hızlı yanıt protokolleri için proaktif izleme, kimlik bilgisi hasat saldırılarına karşı en iyi savunma olmaya devam etmektedir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Notalar |
|---|---|---|
| Açık dizin | 192.3.137[.]252: 443 | Muhtemelen kit bileşenlerini barındırır |
| C2 Altyapı | Teffcopipe[.]com | Post kimlik bilgisi verileri alır |
| C2 IP | 5.63.8[.]243 | Phish arka uçla ilişkili |
| Kötü niyetli senaryo | /wazzy.php | Kimlik bilgisi toplama uç noktası |
| Sertifika | Hadi Şifreleyelim | Geçerli: 2023-12-20 ila 2024-03-19 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!