روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین مایکروسافت از کمپین فیشینگ عظیمی رونمایی کردند که می‌تواند حتی درصورتیکه کاربر احراز هویت چندعاملی (MFA[1]) را فعال کرده باشد اطلاعات محرمانه را سرقت کند. این کمپین تاکنون سعی داشته بیش از ده هزار سازمان را دستکاری کند. با ما همراه باشید تا این اتفاق را مورد بررسی قرار دهیم.

این کمپین که از سپتامبر 2021 فعال است برای سرقت کوکی‌های سشن و اطلاعات محرمانه به کارکرد سایت‌های فیشینگ [2]AiTM متکی است. تیم  Microsoft 365 Defender Research از مرکز هوش تهدید مایکروسافت دیروز سه‌شنبه در پستی نوشت، «مهاجمین از آنجا می‌توانند برای پیشبرد حملات بعدی‌شان روی سایر تارگت‌ها به میل‌باکس‌های قربانیان دسترسی پیدا کنند». در حملات AiTM عامل تهدید یک پروکسی سرور را بین کاربر مورد هدف و وبسایتی که کاربر دوست دارد از آن دیدن کند –یعنی سایتی که مهاجم قرار است خود را جای آن بزند- به کار می‌بندد. به نقل از محققین، «چنین تنظیماتی به مهاجم اجازه می‌دهد تا پسورد و کوکی سشن هدف را که سشن جاری و تأییدشده آن‌ها را با وبسایت ثابت می‌کند سرقت و رهگیری کند».

مهم است به این مسئله نیز اشاره کنیم که چنین نوع حمله‌ای نشان‌دهنده آسیب‌پذیری در نوع MFA بکارگرفته‌شده از سوی سیستم ایمیل سازمانی نیست. فیشینگ AiTM کوکی سشن را می‌دزدد تا صرف‌نظر از متود SIGN IN که کاربر استفاده می‌کند مهاجم به جای کاربر در سشن احراز هویت شود.

به گفته یکی از متخصصین امنیتی، «به طور قطع مهاجمین حواسشان به استفاده بالای سازمان‌ها از احراز هویت چند عاملی برای امنیت‌دهی بهتر به اکانت‌های کاربری بوده و از این رو حملات فیشینگ‌ خود را طوری پیچیده کرده‌اند که راحت بشود MFA را دور زد».

اریک کرون مدافع آگاهی امنیتی در سازمان آموزش آگاهی امنیتی به نام  KnowBe4 در مصاحبه‌ای با Threatpost  چنین گفت، «درحالیکه MFA مطمئناً ارزشمند است و باید در صورت امکان از آن استفاده شود، با گرفتن رمز عبور و کوکی سشن- و چون کوکی سشن نشان می‌دهد که MFA قبلاً برای ورود به سیستم استفاده شده است - مهاجمان اغلب می توانند هنگام ورود به حساب کاربری نیاز به MFA را دور بزنند».

بررسی فیشینگ AiTM

محققین مایکروسافت طی مشاهده این کمپین به تفصیل به بررسی ساز و کار این حملات و اینکه چطور برای حملات ثانویه BEC (دستکاری ایمیل سازمانی) بعد از اینکه دسترسی اولیه به اکانت فرد میسر شد مورد استفاده قرار می‌گیرند پرداختند. حملات فیشینگ AiTM به سشنی بستگی دارند که هر وب‌سرویس مدرنی بعد از احراز هویت موفق روی کاربرش پیاده‌سازی می‌کند تا او نیازی نداشته باشد در هر صفحه جدید که بازدید می‌کند احراز هویت شود. به نقل از محققین، «کارکرد این سشن از طریق کوکی سشن ارائه‌شده توسط سرویس احراز هویت بعد از احراز اولیه پیاده‌سازی می‌شود. این سشن به وب‌سرور اثبات می‌کند که کاربر احراز شده و در وبسایت سشنی در جریان دارد».

در یک فیشینگ AiTM، مهاجم تلاش دارد کوکی سشن کاربر مورد هدف خود را سرقت کند تا بتواند کل پروسه احراز را دور بزند و طوری وانمود کند که گویی کاربری است احرازشده و قانونی. محققین می‌گویند، «مهاجم برای انجام این کار وب‌سروری را به کار می‌گیرد که از کاربری که سایت فیشینگ را بازدید کرده پکت‌های HTTP را پروسکی می‌کند تا سروری را که قصد دارد خود را جای آن بزند مورد هدف قرار گیرد یا بالعکس. بدین‌ترتیب سایت فیشینگ به لحاظ بصری درست مانند وبسایت اورجینال خواهد بود (زیرا هر HTTP از/به وبسایت اورجینال پروکسی می‌شود)». این حمله خصوصاً برای عوامل تهدید راحت است زیرا دیگر نیازی ندارند سایت فیشینگ مخصوص به خود را بسازند مانند آن‌هایی که در کمپین‌های همیشگی فیشینگ استفاده می‌شوند.

بردار حمله خاص

مهاجمین در کمپین فیشینگ مشاهده‌شده توسط محققین مایکروسافت با ارسال ایمیل با پیوست فایل HTML به چند گیرنده در سازمان‌های مختلف اولین تماس خود را با قربانیان بالقوه شروع کردند. این پیام ادعا داشت گیرندگان پیام صوتی دارند و باید برای دسترسی به آن وی پیوست کلیک کنند یا اینکه در غیر این صورت پیام ظرف چند ساعت پاک خواهد شد. اگر کاربر روی لینک کلیک کند به سایتی هدایت خواهد شد که به او می‌گوید ظرف یک ساعت دوباره به میل‌باکس حاوی پیام صوتی هدایت خواهد شد. در همین حال از کاربر اطلاعات محرمانه‌شان نیز درخواست می‌شود.

در این نقطه اما مهاجم با استفاده از کدینگ هوشمندانه‌ای کاری منحصر به فرد انجام می‌دهد: پر کردن پیج لندینگ فیشینگ به صورت خودکار با آدرس ایمیل کاربر. بدین‌ترتیب قلاب مهندسی اجتماعی مهاجم ارتقا می‌یابد. اگر تارگت اطلاعات محرمانه خود را وارد کند و احراز شود به پیج رسمی مایکروسافت ریدایرکت خواهد شد. با این وجود، در پس‌زمینه مهاجم اطلاعات را رهگیری کرده و به جای کاربر احراز هویت می‌شود و برای اجرای فعالیت‌های بعدی خود آزادانه حکمرانی خواهد کرد. عامل تهدید در زنجیره ایمیل فیشینگ که محققین مشاهده کرده‌اند از احراز هویت برای انجام کلاهبرداری پرداختی در حملات ثانویه از داخل سازمان استفاده کرده است.

حملات ثانویه دستکاری ایمیل سازمانی و کلاهبرداری پرداختی

مهاجمین بعد از سرقت سشن‌ها و اطلاعات محرمانه فقط 5 دقیقه طول کشید تا شروع کنند به اجرای کلاهبرداری پرداختی و حمله BEC (با احراز هویت در OUTLOOK برای دسترسی به ایمیل‌های سازمانی و پیوست‌های فایل). روز بعد آن‌ها به این ایمیل‌ها و فایل‌ها هر چند ساعت یکبار دسترسی پیدا کردند تا برای اجرای مقاصد شرورانه خود فرصت خوبی را پیدا کنند. عامل تهدید همچنین ایمیل فیشینگ اورجینال را از فولدر اینباکس اکانت دستکاری‌شده که فرستاده بودند پاک کرد تا کسی از دسترسی اولیه‌شان رد و اثری پیدا نکند. این فعالیت‌ها نشان می‌دهد مهاجمین سعی داشتند به طور دستی کلاهبرداری پرداختی خود را جلو ببرند. همچنین آن‌ها از دسترسی وب Outlook روی مرورگر کروم برای اجرای کلاهبرداری پرداختی حین استفاده از کوکی سشن سرقتی از اکانت دستکاری‌شده استفاده کردند.

[1] multi-factor authentication

[2]  adversary-in-the-middle

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.