Yeni PhaaS Platformu Saldırganların 2FA Mekanizmasını Atlamasına İzin Veriyor

   Haziran 19, 2024  Posted in GBHackers


Geçmişte tehdit aktörleri tarafından çeşitli kimlik avı kampanya kitleri yaygın olarak kullanıldı. Popüler PhaaS’lerden (Platform Olarak Kimlik Avı) ilk olarak Mandiant araştırmacıları tarafından tanımlanan ve rapor edilen Kafein’di.

Arapça konuşan bir tehdit aktörü olan MRxC0DER, kafein kitini geliştirdi ve bakımını yaptı.

Ancak Caffeine’in artık ONNX Mağazası olarak yeniden markalandığı ve bağımsız olarak yönetildiği keşfedildi, ancak orijinal geliştirici Müşteri desteğiyle ilgileniyor.

Tehdit aktörleri, kimlik avı e-postaları aracılığıyla finansal kurumları hedeflemek için şu anda bu yeni markalı platformu kullanıyor.

Ayrıca ONNX mağazası, Telegram botları aracılığıyla erişilebilen kullanıcı dostu bir arayüz sunar.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Ayrıca, iş e-postası uzlaşma saldırılarının başarı oranını artıracak 2FA mekanizmalarını atlama yeteneğine de sahiptir.

PhaaS Platformu Baypas 2FA

Cyber ​​Security News ile paylaşılan raporlara göre, bu kampanyalarda kullanılan kimlik avı sayfaları, şüphelenmeyen herhangi bir kullanıcıyı kimlik doğrulama bilgilerini girmeye ikna edecek orijinal Microsoft 365 oturum açma sayfasına benziyor.

Aslına bakılırsa, yeniden markalama özellikle tehdit aktörleri ve hizmetleri için operasyonel güvenliğin iyileştirilmesine odaklandı.

ONNX mağazasına genel bakış (Kaynak: EclecticIQ)

Caffeine kiti, tüm kimlik avı kampanyalarını yönetmek için tek bir paylaşılan web sunucusu kullanırken, bu yeni ONNX mağazası, tehdit aktörlerinin operasyonlarını Telegram botları aracılığıyla kontrol etmesine olanak tanıyor ve destek bir destek kanalı tarafından sağlanıyor. Gözlemlenen ONNX mağaza kanallarından ve botlarından bazıları:

  • @ONNXIT: Bir Telegram kullanıcısı – müşterilerden gelen destek ihtiyaçlarını yönetir.
  • @ONNX2FA_bot: Müşterilerin başarılı kimlik avı operasyonlarından 2FA kodları almasına yönelik bir Telegram botu.
  • @ONNXNORMAL_bot: İstemcilerin Microsoft Office 365 oturum açma kimlik bilgilerini almasına yönelik bir Telegram botu.
  • @ONNXWEBMAIL_bot: Kimlik avı e-postaları göndermek üzere bir Web posta sunucusunu kontrol etmek için istemcilere yönelik bir Telegram botu.
  • @ONNXKITS_BOT: Müşterilerin ONNX Mağazası hizmetleri için ödeme yapmasına ve siparişlerini takip etmesine yönelik bir Telegram botu.

Bu, kanalların ve botların bir koludur; sunulan Hizmetler şunları içerir:

  • Microsoft Office 365 kimlik avı şablonu oluşturma.
  • Kimlik avı e-postaları göndermek ve sosyal mühendislik tuzaklarını kullanmak için web posta hizmeti.
  • Siber suçluların operasyonlarını güvenli bir şekilde yönetmeleri için kurşun geçirmez barındırma ve RDP hizmetleri.

Cloudflare Etki Alanı Kapanmalarını Önlemek İçin

Emniyet Teşkilatı birçok durumda, daha fazla faaliyetin engellenmesi amacıyla etki alanının kapatılmasına yol açan bu siber suç operasyonlarına karşı mücadele etmiştir.

Bununla birlikte, bu yeni kurulum, kimlik avı etki alanlarının yayından kaldırılması sürecini geciktirmek için Cloudflare’i kullanıyor; bu, web sitesi tarayıcı algılamalarından kaçınmak için bot karşıtı CAPTCHA ve orijinal barındırma sağlayıcısını gizlemek için IP proxy oluşturma gibi özellikler sağlıyor.

Cloudflare uygulaması (Kaynak: EclecticIQ)

Ayrıca farklı kimlik avı araçlarının maliyeti aşağıdaki gibidir:

  • Webposta Normal hizmeti (150$/Ay): Özelleştirilebilir kimlik avı sayfaları ve web posta sunucusu sunar.
  • Office 2FA Çerez Hırsızı (400$/Ay): Kurbanlardan 2FA belirteçlerini ve çerezleri yakalayan, istatistikler, ülke engelleme ve e-posta ele geçirme özelliklerini içeren bir kimlik avı açılış sayfası.
  • Ofis Normal paketi (200$/Ay): 2FA’yı atlamadan e-posta kimlik bilgileri toplama yeteneklerini etkinleştirir.
  • Ofis Yönlendirme Hizmeti (200$/Ay): ONNX Store tarafından “Tamamen Algılanamayan (FUD) bağlantılar” oluşturduğu şeklinde reklam yapıldı. Bu hizmet, kurbanları saldırgan tarafından kontrol edilen kimlik avı açılış sayfalarına yönlendirmek için bing.com gibi güvenilir alanlardan yararlanır.
ONNX Mağazasındaki mevcut seçeneklerin listesi (Kaynak: EclecticIQ)

Ek bilgi olarak, bu yeni PhaaS platformu aynı zamanda tehdit aktörlerinin QR kodu içeren kimlik avı e-postaları aracılığıyla PDF belgelerini dağıttığı Quishing (QR-kimlik avı) saldırılarına da olanak tanıyor.

Bu QR kodları taranırsa kurban, kimlik avı açılış sayfasına yönlendirilecektir. Ayrıca kimlik avı e-postalarının çoğu, Adobe veya Microsoft 365 gibi saygın hizmetlerin kimliğine bürünüyordu.

Tespitten Kaçmak için Şifrelenmiş JS Kodu

Bu kimlik avı kiti, cephaneliğine ek olarak, yalnızca sayfa yüklendiğinde şifreyi çözecek şifrelenmiş bir Javascript kodu da kullanır.

Bu, kimlik avı önleme tarayıcılarının bu kimlik avı alanlarını tespit etmesini engeller.

JS kodunun şifresi çözüldükten sonra, “httbin” gibi üçüncü taraf alan adları[.]org” ve “ipapi[.]co”, tehdit aktörlerine göndermeden önce kurbanların tarayıcı adı, IP adresi ve konumu gibi ağ meta verilerini toplar.

Şifreleme yöntemi ayrıca aşağıdaki yaklaşımları izleyen kötü amaçlı komut dosyalarını da gizler

  • Kodlanmış dizenin kodu base64’ten çözüldü
  • Kodu çözülen dizinin her karakteri, şifre çözme için anahtar arasında geçiş yapılarak, sabit kodlanmış anahtardan bir karakterle XORlanır.
  • Sonuç, daha sonra tarayıcı tarafından yürütülen, şifresi çözülmüş bir dizedir (JavaScript kodu).

Bu gizli kötü amaçlı komut dosyaları sıradan bir inceleme sırasında görüntülenemez. Ancak anahtar ve şifrelenmiş dize biliniyorsa şifresi kolayca çözülebilir.

Ancak şifresi çözülen JS kodu aynı zamanda kurbanların girdiği 2FA tokenını çalmak için de tasarlandı.

Siber Suçlular İçin Kurşun Geçirmez Barındırma

Kayıtlı kimlik avı alan adları, Google Trust Services LLC’den GTS CA 1P5 tarafından verilen SSL sertifikalarına sahiptir.

Ayrıca kayıtlı alan adlarının çoğu NameSilo ve EVILEMPIRE-AS aracılığıyla sağlandı.

Dahası, bu kurşun geçirmez barındırma hizmetleri, siber suçlulara ek bir anonimlik katmanı sağladı.

Kurşun geçirmez barındırma (Kaynak: EclecticIQ)

Ayrıca, çok çeşitli yasadışı operasyonları desteklemek için tasarlanmış hizmetler de vardı.

Bir Telegram grubundaki reklamda Bulletproof hosting’in geliştirilme aşamasında olduğu ve RDP oturumları ekledikleri belirtildi.

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free

Ayrıca, bu yeni ONNX mağazasının, gelişmiş RAM, CPU ve SSD hızları ve sınırsız bant genişlikleri kullanan yüksek performanslı özelliklere sahip birden fazla kötü amaçlı kampanyayı desteklediğinden de bahsediliyor.

Uzlaşma Göstergeleri

Kimlik avı URL’leri

  • Authmicronlineonfication[.]iletişim
  • doğrulama-ofis-görünümü[.]iletişim
  • akış-doğrulama-giriş[.]iletişim
  • zak[.]gletber[.]iletişim
  • v744[.]r9gh2[.]iletişim
  • bsifinancial019[.]ssllst[.]bulut
  • 473[.]Kernam[.]iletişim
  • belge imzası[.]çok partili Avrupa[.]iletişim
  • 56789iugtfrd5t69i9ei9die9di9eidy7u889[.]rhiltonlar[.]iletişim
  • seçim[.]biz-hindular[.]iletişim

Kötü Amaçlı PDF Dosyaları

  • 432b1b688e21e43d2ccc68e040b3ecac4734b7d1d4356049f9e1297814627cb3
  • 47b12127c3d1d2af24f6d230e8e86a7b0c661b4e70ba3b77a9beca4998a491ea
  • 51fdaa65511e7c3a8d4d08af59d310a2ad8a18093ca8d3c817147d79a89f44a1
  • f99b01620ef174bb48e22e54327ca9cffa4520868f49a41c524b81ab6d935070
  • 52e04c615b08af10b4982506c1cee74cb062116d31f0300ed027f6efd3119b1a
  • 3d58733b646431a60d39394be99ff083d6db3583796b503e8422baebed8d097e
  • 702008cae9a145741e817e6c6566cd1d79c737d51b718f13a2d16d72a00cd5a7
  • 908af49857b6f5d1e0384a5e6fc8ee53ca1df077601843ebdd7fc8a4db8bcb12
  • d3b03f79cf1d088d2ed41e25c961e9945533aeabb93eac2d33ebc4b589ba6172
  • 4751234ac4e1b0a5d4685b870de1ea1a7754258977f5d1d9534631c09c748732



Source link