Daha önce belgelenmemiş bir “kimlik avı imparatorluğu”, son altı yılda Microsoft 365 iş e-posta hesaplarını ele geçirmeyi amaçlayan siber saldırılarla ilişkilendirildi.
“Tehdit aktörü, W3LL Store adında gizli bir yer altı pazarı oluşturdu. Bu pazar, MFA’yı atlatmak için tasarlanmış W3LL Panel adlı özel bir kimlik avı kitinin yanı sıra diğer 16 tamamen özelleştirilmiş aracı satın alabilecek en az 500 tehdit aktöründen oluşan kapalı bir topluluğa hizmet verdi. iş e-postası gizliliğinin ihlali (BEC) saldırıları,” Group-IB söz konusu The Hacker News ile paylaşılan bir raporda.
Kimlik avı altyapısının Ekim 2022 ile 2022 arasında başta ABD, İngiltere, Avustralya, Almanya, Kanada, Fransa, Hollanda, İsviçre ve İtalya olmak üzere 56.000’den fazla kurumsal Microsoft 365 hesabını hedef aldığı ve bunlardan en az 8.000’ini ele geçirdiği tahmin ediliyor. Temmuz 2023, operatörlerine 500.000 dolar yasa dışı kar sağladı.
Kimlik avı çözümü kullanılarak sızılan öne çıkan sektörlerden bazıları arasında üretim, BT, danışmanlık, finansal hizmetler, sağlık hizmetleri ve hukuk hizmetleri yer alıyor. Group-IB, aynı dönemde W3LL Paneline atfedilen 850’ye yakın benzersiz kimlik avı web sitesi tespit ettiğini söyledi.
Singapur merkezli siber güvenlik şirketi, W3LL’yi, özel kimlik avı araçlarından e-posta listelerine ve güvenliği ihlal edilmiş sunuculara erişime kadar geniş bir hizmet yelpazesi sunan, hepsi bir arada bir kimlik avı aracı olarak tanımladı ve kimlik avının yükseliş eğiliminin altını çizdi. hizmet (PhaaS) platformları.
2017’den bu yana aktif olan kitin arkasındaki tehdit aktörü, dikkatini kurumsal e-posta hesaplarını tehlikeye atmak için kimlik avı araçları kurmaya yöneltmeden önce, toplu e-posta spam’leri (PunnySender ve W3LL Sender adında) için özel yazılım geliştirme konusunda hikayeli bir geçmişe sahip.
W3LL’nin kötü amaçlı yazılım cephaneliğinin temel bileşenlerinden biri, çok faktörlü kimlik doğrulama (MFA) korumalarını atlayabilen ortadaki düşman (AiTM) kimlik avı kitidir. Üç aylık abonelik için 500 $ karşılığında satışa sunuluyor ve ardından aylık 150 $ ücret alınıyor.
Panel, kimlik bilgilerini toplamanın yanı sıra, bot karşıtı işlevsellik Otomatik web içeriği tarayıcılarından kaçınmak ve kimlik avı ve kötü amaçlı yazılım kampanyalarının ömrünü uzatmak için.
W3LL Mağazası ayrıca PhaaS bağlı kuruluşlarına, bayi programı aracılığıyla kazanılan komisyonların 70/30’unu ve diğer güvenilir tarafları topluluğa dahil etmek için %10’luk bir “yönlendirme bonusu” sunuyor. Kaynak kodunun çalınmasını veya yeniden satılmasını önlemek için panelin her kopyası, lisans bazlı bir aktivasyon mekanizması aracılığıyla etkinleştirilir.
W3LL kimlik avı kitini kullanan BEC saldırıları, LOMPAT olarak adlandırılan yardımcı bir yardımcı program kullanılarak e-posta adreslerinin doğrulanması ve kimlik avı mesajlarının iletilmesi için bir hazırlık aşamasını gerektirir.
Sahte bağlantıyı veya eki açan kurbanlar, izin verilmeyen ziyaretçileri (Wikipedia’ya yönlendirilen) filtrelemek için anti-bot komut dosyasından geçirilir ve sonunda kimlik bilgilerini ve oturumu ele geçirmek için AiTM taktiklerini kullanan bir yönlendirme zinciri aracılığıyla onları kimlik avı açılış sayfasına götürür. kurabiye.
Bu erişime sahip olan tehdit aktörü daha sonra MFA’yı tetiklemeden hedefin Microsoft 365 hesabında oturum açar, CONTOOL adlı özel bir araç kullanarak ana bilgisayarda hesap keşfini otomatikleştirir ve e-postaları, telefon numaralarını ve diğer bilgileri toplar.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Kötü amaçlı yazılım yazarının benimsediği dikkate değer taktiklerden bazıları, çalıntı oturum çerezlerini depolamak için bir dosya paylaşım hizmeti olan Hastebin’in yanı sıra kimlik bilgilerini suç aktörlerine sızdırmak için Telegram ve e-postanın kullanılmasıdır.
Açıklama, Microsoft’un AiTM tekniklerinin yaygınlaştığı konusunda uyarmasından birkaç gün sonra geldi. PhaaS platformları Kullanıcıların geniş ölçekte yeniden kimlik doğrulamaya gerek kalmadan ayrıcalıklı sistemlere erişmesine olanak tanıyan EvilGinx, Modlishka, Muraena, EvilProxy ve Greatness gibi.
“W3LL Store’u ve ürünlerini diğer yer altı pazarlarından ayıran şey, W3LL’nin yalnızca bir pazar yeri değil, aynı zamanda BEC’in neredeyse tüm öldürme zincirini kapsayan ve siber suçlular tarafından kullanılabilen tam uyumlu özel bir araç seti ile karmaşık bir kimlik avı ekosistemi yaratmasıdır. Group-IB’den Anton Ushakov, “tüm teknik beceri seviyeleri” dedi.
“Kimlik avı araçlarına yönelik artan talep, giderek artan sayıda satıcının ilgisini çeken gelişen bir yer altı pazarı yarattı. Bu rekabet, suç operasyonlarına yönelik yeni özellikler ve yaklaşımlar aracılığıyla kötü amaçlı araçlarının verimliliğini artırmaya çalışan kimlik avı geliştiricileri arasında sürekli yeniliği teşvik ediyor. “