ชุดฟิชชิ่ง EvilProxy

นักวิจัยของ Infosec สังเกตเห็นแนวโน้มที่น่าตกใจของผู้ที่เกี่ยวข้องกับการฉ้อโกงโดยใช้ชุดเครื่องมือ Phishing-as-a-Service (PhaaS) ชื่อ EvilProxy อย่างต่อเนื่อง มัลแวร์กำลังถูกปรับใช้เพื่อเป็นแนวทางในการจัดการการโจมตีแบบยึดบัญชีโดยเน้นเฉพาะที่ผู้บริหารในองค์กรที่มีชื่อเสียง

แคมเปญโจมตีดังกล่าวได้รับการสังเกตว่าใช้กลยุทธ์แบบผสมผสานที่ใช้ประโยชน์จากฟังก์ชันการทำงานของชุดเครื่องมือ EvilProxy วัตถุประสงค์คือการกำหนดเป้าหมายบัญชีผู้ใช้ Microsoft 365 จำนวนมาก ซึ่งนำไปสู่การแจกจ่ายอีเมลฟิชชิ่งประมาณ 120,000 ฉบับในองค์กรต่างๆ ทั่วโลกภายในกรอบเวลาของเดือนมีนาคมถึงมิถุนายน 2023

อย่างมีนัยสำคัญ ในบรรดาผู้ใช้ที่ถูกบุกรุกจำนวนมาก เกือบ 39% ถูกระบุว่าเป็นผู้บริหารระดับ C ซึ่งประกอบไปด้วย CEO คิดเป็น 9% และ CFO คิดเป็น 17% การโจมตีเหล่านี้ยังมุ่งเน้นไปที่บุคลากรที่สามารถเข้าถึงทรัพยากรทางการเงินที่ละเอียดอ่อนหรือข้อมูลที่สำคัญ น่าประทับใจ ไม่น้อยกว่า 35% ของผู้ใช้ที่ถูกบุกรุกทั้งหมดเลือกใช้การรักษาความปลอดภัยบัญชีเพิ่มเติม

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุว่าแคมเปญที่จัดทำขึ้นเหล่านี้เป็นการตอบสนองโดยตรงต่อการนำการยืนยันตัวตนแบบหลายปัจจัย (MFA) ไปใช้ภายในองค์กร ดังนั้น ผู้ก่อภัยคุกคามได้ปรับกลยุทธ์ของตนเพื่อก้าวข้ามอุปสรรคด้านความปลอดภัยใหม่ โดยการใช้ชุดฟิชชิ่งของศัตรูที่อยู่ตรงกลาง (AitM) ชุดเครื่องมือเหล่านี้ออกแบบมาเพื่อดักจับข้อมูลประจำตัว เซสชันคุกกี้ และรหัสผ่านแบบใช้ครั้งเดียว ดังนั้นผู้โจมตีจึงแยกแยะแบบเรียลไทม์ได้ว่าผู้ใช้ที่ฟิชชิ่งมีความสำคัญระดับสูงหรือไม่ การระบุตัวตนที่แม่นยำนี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีได้อย่างรวดเร็ว โดยมุ่งเน้นที่เป้าหมายที่ร่ำรวยในขณะที่ไม่สนใจโปรไฟล์ที่มีค่าน้อยกว่า

ชุดฟิชชิ่งเช่น EvilProxy ช่วยให้อาชญากรไซเบอร์ที่มีทักษะต่ำสามารถทำการโจมตีที่ซับซ้อนได้

EvilProxy ได้รับการรายงานครั้งแรกโดยนักวิจัยในเดือนกันยายน 2022 เมื่อพวกเขาเปิดเผยความสามารถในการประนีประนอมบัญชีผู้ใช้ที่เกี่ยวข้องกับแพลตฟอร์มที่โดดเด่นต่างๆ รวมถึง Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo และ Yandex และอื่น ๆ ชุดเครื่องมือนี้วางตลาดเป็นบริการสมัครสมาชิก ซึ่งมีให้ในอัตราพื้นฐานที่ $400 ต่อเดือน อย่างไรก็ตาม ค่าใช้จ่ายอาจเพิ่มขึ้นเป็น 600 ดอลลาร์สำหรับการกำหนดเป้าหมายบัญชี Google ซึ่งแสดงถึงมูลค่าที่สูงขึ้นซึ่งเชื่อมโยงกับข้อมูลรับรองเหล่านั้น

ชุดเครื่องมือ Phishing-as-a-Service (PhaaS) แสดงถึงวิวัฒนาการที่โดดเด่นในแนวอาชญากรไซเบอร์ ช่วยลดอุปสรรคในการเข้าสู่อาชญากรที่มีทักษะทางเทคนิคน้อยได้อย่างมีประสิทธิภาพ วิวัฒนาการนี้ทำให้สามารถดำเนินการโจมตีแบบฟิชชิ่งที่ซับซ้อนได้ในขนาดใหญ่ โดยยังคงแนวทางที่ราบรื่นและประหยัดค่าใช้จ่าย

ความพร้อมใช้งานของภัยคุกคามด้วยอินเทอร์เฟซที่ตรงไปตรงมาและเป็นมิตรกับงบประมาณส่งผลให้กิจกรรมฟิชชิ่งการพิสูจน์ตัวตนแบบหลายปัจจัย (MFA) ที่ประสบความสำเร็จเพิ่มขึ้นอย่างมาก แนวโน้มนี้บ่งบอกถึงการเปลี่ยนแปลงในกลยุทธ์ที่อาชญากรไซเบอร์ใช้ ทำให้พวกเขาสามารถใช้ประโยชน์จากช่องโหว่ของระบบ MFA ได้อย่างมีประสิทธิภาพและขยายขอบเขตการโจมตี

นักคุกคามจาก EvilProxy ใช้อีเมลหลอกลวงเพื่อหลอกล่อเหยื่อที่ไม่สงสัย

การดำเนินการโจมตีที่บันทึกไว้เริ่มต้นด้วยการแจกจ่ายอีเมลฟิชชิ่งที่ใช้หน้ากากของบริการที่เชื่อถือได้ เช่น Adobe และ DocuSign วิธีการหลอกลวงนี้มีจุดมุ่งหมายเพื่อหลอกล่อให้ผู้รับโต้ตอบกับ URL ที่เป็นอันตรายที่พบในอีเมล เมื่อคลิก URL เหล่านี้แล้ว ลำดับการเปลี่ยนเส้นทางแบบหลายขั้นตอนจะถูกเรียกใช้ เป้าหมายคือนำเป้าหมายไปยังหน้าเข้าสู่ระบบ Microsoft 365 ที่มีลักษณะเหมือนกัน ซึ่งได้รับการออกแบบมาอย่างชาญฉลาดเพื่อเลียนแบบพอร์ทัลของแท้ หน้าเข้าสู่ระบบปลอมทำหน้าที่เป็นพร็อกซีย้อนกลับ โดยแยกข้อมูลที่ส่งมาทางแบบฟอร์ม

องค์ประกอบที่โดดเด่นภายในแคมเปญนี้คือการตั้งใจยกเว้นการรับส่งข้อมูลของผู้ใช้ที่มาจากที่อยู่ IP ของตุรกี ทราฟฟิกเฉพาะนี้ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ถูกกฎหมาย โดยบอกใบ้ถึงความเป็นไปได้ที่ผู้จัดทำแคมเปญอาจมีต้นกำเนิดในประเทศนั้น

เมื่อการยึดครองบัญชีสำเร็จ ผู้กระทำการคุกคามจะดำเนินการตั้งหลักที่มั่นคงภายในสภาพแวดล้อมระบบคลาวด์ขององค์กร ซึ่งทำได้โดยการแนะนำวิธีการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ของตนเอง เช่น แอปตรวจสอบสิทธิ์แบบสองปัจจัย การเคลื่อนไหวเชิงกลยุทธ์นี้ทำให้มั่นใจได้ว่าผู้คุกคามสามารถรักษาการเข้าถึงระยะไกลได้อย่างสม่ำเสมอ อำนวยความสะดวกในการเคลื่อนไหวด้านข้างภายในระบบ และการแพร่กระจายของมัลแวร์เพิ่มเติม

การเข้าถึงที่ได้รับจะถูกนำไปใช้เพื่อวัตถุประสงค์ในการสร้างรายได้ ผู้คุกคามอาจเลือกที่จะมีส่วนร่วมในการฉ้อโกงทางการเงิน กรองข้อมูลลับ หรือแม้แต่ขายบัญชีผู้ใช้ที่ถูกบุกรุกให้กับหน่วยงานที่เป็นอันตรายอื่นๆ ในภาพรวมของภัยคุกคามแบบไดนามิกในปัจจุบัน ภัยคุกคามแบบย้อนกลับของพร็อกซี—ตัวอย่างโดย EvilProxy โดยเฉพาะ—เป็นการคุกคามที่ทรงพลังอย่างยิ่ง ซึ่งเหนือกว่าความสามารถของชุดฟิชชิ่งที่ซับซ้อนน้อยกว่าที่ใช้ในอดีต โดยเฉพาะอย่างยิ่ง แม้แต่การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) ก็ยังไม่รอดพ้นจากภัยคุกคามบนคลาวด์ขั้นสูงเหล่านี้