EvilProxy andmepüügikomplekt

Infoseci teadlased on märganud murettekitavat suundumust, et pettusega seotud osalejad kasutavad järk-järgult andmepüügi-as-a-Service (PhaaS) tööriistakomplekti nimega EvilProxy. Pahavara kasutatakse konto ülevõtmise rünnakute korraldamise viisina, keskendudes eelkõige silmapaistvate organisatsioonide juhtidele.

Sellist rünnakukampaaniat on täheldatud hübriidstrateegia kasutamisel, mis kasutab ära EvilProxy tööriistakomplekti funktsioone. Eesmärk on sihtida suur hulk Microsoft 365 kasutajakontosid, mis kulmineeruvad ligikaudu 120 000 andmepüügimeili levitamisega paljude organisatsioonide vahel üle maailma ajavahemikus märtsist juunini 2023.

Märkimisväärne on see, et arvukate ohustatud kasutajate seas on peaaegu 39% C-taseme juhid. See hõlmab tegevjuhte, mis moodustavad 9% ja finantsjuhte, moodustavad 17%. Need rünnakud keskenduvad ka töötajatele, kellel on juurdepääs tundlikele finantsressurssidele või kriitilisele teabele. Muljetavaldav on see, et vähemalt 35% kõigist ohustatud kasutajatest olid valinud konto täiendava turvalisuse kihi.

Küberturvalisuse eksperdid märgivad, et need korraldatud kampaaniad on otsene vastus mitmefaktorilise autentimise (MFA) kõrgendatud rakendamisele ettevõtetes. Sellest tulenevalt on ohus osalejad kohandanud oma strateegiaid, et ületada uued turvatõkked, lisades andmepüügikomplektid vastase keskel (AitM). Need komplektid on loodud mandaatide, seansiküpsiste ja ühekordsete paroolide hõivamiseks, võimaldades seeläbi ründajatel reaalajas tuvastada, kas andmepüügi kasutaja on kõrgetasemelise tähtsusega. See täpne tuvastamine võimaldab ründajatel kiiresti kontole juurde pääseda, keskendudes oma jõupingutused tulusatele sihtmärkidele, jättes tähelepanuta vähem väärtuslikud profiilid.

Andmepüügikomplektid, nagu EvilProxy, võimaldavad madalama kvalifikatsiooniga küberkurjategijatel korraldada keerukaid rünnakuid

Teadlased teatasid algselt EvilProxyst 2022. aasta septembris, kui nad avalikustasid selle võime ohustada erinevate silmapaistvate platvormidega, sealhulgas Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, seotud kasutajakontosid. Yahoo ja Yandex, teiste hulgas. Seda tööriistakomplekti turustatakse tellimusteenusena, mis on saadaval baasmääraga 400 dollarit kuus. Google'i kontode sihtimise hind võib aga tõusta 600 dollarini, mis peegeldab nende mandaatidega seotud suuremat väärtust.

Phishing-as-a-Service (PhaaS) tööriistakomplektid kujutavad endast küberkuritegevuse maastikul märkimisväärset arengut, vähendades tõhusalt vähem tehniliselt kvalifitseeritud kurjategijate sisenemise tõkkeid. See areng võimaldab sooritada keerukaid andmepüügirünnakuid suures mahus, säilitades samal ajal sujuva ja kulutõhusa lähenemisviisi.

Selliste lihtsate ja eelarvesõbralike liidestega ohtude kättesaadavus on kaasa toonud eduka mitmefaktorilise autentimise (MFA) andmepüügitegevuse märkimisväärse tõusu. See suundumus tähistab nihet küberkurjategijate taktikas, mis võimaldab neil tõhusalt ära kasutada MFA-süsteemide haavatavusi ja võimendada oma rünnakute ulatust.

EvilProxy ähvardusnäitlejad kasutavad pahaaimamatute ohvrite meelitamiseks petturlikke e-kirju

Salvestatud ründeoperatsioonid algavad andmepüügimeilide levitamisega, mis võtavad kasutusele usaldusväärsete teenuste, nagu Adobe ja DocuSign, varjundi. Selle petliku lähenemisviisi eesmärk on meelitada adressaate suhtlema meilides leiduvate pahatahtlike URL-idega. Kui nendel URL-idel klõpsate, käivitatakse mitmeastmeline ümbersuunamisjada. Eesmärk on viia sihtmärk Microsoft 365 välimusega sisselogimislehe poole, mis on nutikalt loodud autentset portaali jäljendama. Võltsitud sisselogimisleht toimib vastupidise puhverserverina, jäädvustades vormi kaudu esitatud teabe diskreetselt.

Selle kampaania tähelepanuväärne element on Türgi IP-aadressidelt pärineva kasutajaliikluse tahtlik välistamine. See konkreetne liiklus suunatakse seaduslikele veebisaitidele, vihjates võimalusele, et kampaania korraldajad võivad olla pärit sellest riigist.

Kui konto edukas ülevõtmine on saavutatud, asuvad ohus osalejad organisatsiooni pilvekeskkonnas kindlat jalgealust looma. See saavutatakse oma mitmefaktorilise autentimise (MFA) meetodi, näiteks kahefaktorilise autentimise rakenduse kasutuselevõtuga. See strateegiline samm tagab, et ohus osalejad saavad säilitada järjepideva kaugjuurdepääsu, hõlbustades süsteemis külgsuunalist liikumist ja täiendava pahavara levikut.

Omandatud juurdepääsu kasutatakse seejärel raha teenimise eesmärgil. Ohustatud osapooled võivad otsustada tegeleda finantspettusega, väljafiltreerida konfidentsiaalseid andmeid või isegi müüa ohustatud kasutajakontosid teistele pahatahtlikele üksustele. Praegusel dünaamilisel ohumaastikul on pöördpuhverserveri ohud, mille näideteks on EvilProxy, ülimalt tugev oht, ületades varem kasutatud vähem keerukate andmepüügikomplektide võimalused. Nimelt pole isegi mitmefaktoriline autentimine (MFA) immuunne nende täiustatud pilvepõhiste ohtude suhtes.