روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ محققین مایکروسافت از کمپین فیشینگ عظیمی رونمایی کردند که میتواند حتی درصورتیکه کاربر احراز هویت چندعاملی (MFA[1]) را فعال کرده باشد اطلاعات محرمانه را سرقت کند. این کمپین تاکنون سعی داشته بیش از ده هزار سازمان را دستکاری کند. با ما همراه باشید تا این اتفاق را مورد بررسی قرار دهیم.
این کمپین که از سپتامبر 2021 فعال است برای سرقت کوکیهای سشن و اطلاعات محرمانه به کارکرد سایتهای فیشینگ [2]AiTM متکی است. تیم Microsoft 365 Defender Research از مرکز هوش تهدید مایکروسافت دیروز سهشنبه در پستی نوشت، «مهاجمین از آنجا میتوانند برای پیشبرد حملات بعدیشان روی سایر تارگتها به میلباکسهای قربانیان دسترسی پیدا کنند». در حملات AiTM عامل تهدید یک پروکسی سرور را بین کاربر مورد هدف و وبسایتی که کاربر دوست دارد از آن دیدن کند –یعنی سایتی که مهاجم قرار است خود را جای آن بزند- به کار میبندد. به نقل از محققین، «چنین تنظیماتی به مهاجم اجازه میدهد تا پسورد و کوکی سشن هدف را که سشن جاری و تأییدشده آنها را با وبسایت ثابت میکند سرقت و رهگیری کند».
مهم است به این مسئله نیز اشاره کنیم که چنین نوع حملهای نشاندهنده آسیبپذیری در نوع MFA بکارگرفتهشده از سوی سیستم ایمیل سازمانی نیست. فیشینگ AiTM کوکی سشن را میدزدد تا صرفنظر از متود SIGN IN که کاربر استفاده میکند مهاجم به جای کاربر در سشن احراز هویت شود.
به گفته یکی از متخصصین امنیتی، «به طور قطع مهاجمین حواسشان به استفاده بالای سازمانها از احراز هویت چند عاملی برای امنیتدهی بهتر به اکانتهای کاربری بوده و از این رو حملات فیشینگ خود را طوری پیچیده کردهاند که راحت بشود MFA را دور زد».
اریک کرون مدافع آگاهی امنیتی در سازمان آموزش آگاهی امنیتی به نام KnowBe4 در مصاحبهای با Threatpost چنین گفت، «درحالیکه MFA مطمئناً ارزشمند است و باید در صورت امکان از آن استفاده شود، با گرفتن رمز عبور و کوکی سشن- و چون کوکی سشن نشان میدهد که MFA قبلاً برای ورود به سیستم استفاده شده است - مهاجمان اغلب می توانند هنگام ورود به حساب کاربری نیاز به MFA را دور بزنند».
بررسی فیشینگ AiTM
محققین مایکروسافت طی مشاهده این کمپین به تفصیل به بررسی ساز و کار این حملات و اینکه چطور برای حملات ثانویه BEC (دستکاری ایمیل سازمانی) بعد از اینکه دسترسی اولیه به اکانت فرد میسر شد مورد استفاده قرار میگیرند پرداختند. حملات فیشینگ AiTM به سشنی بستگی دارند که هر وبسرویس مدرنی بعد از احراز هویت موفق روی کاربرش پیادهسازی میکند تا او نیازی نداشته باشد در هر صفحه جدید که بازدید میکند احراز هویت شود. به نقل از محققین، «کارکرد این سشن از طریق کوکی سشن ارائهشده توسط سرویس احراز هویت بعد از احراز اولیه پیادهسازی میشود. این سشن به وبسرور اثبات میکند که کاربر احراز شده و در وبسایت سشنی در جریان دارد».
در یک فیشینگ AiTM، مهاجم تلاش دارد کوکی سشن کاربر مورد هدف خود را سرقت کند تا بتواند کل پروسه احراز را دور بزند و طوری وانمود کند که گویی کاربری است احرازشده و قانونی. محققین میگویند، «مهاجم برای انجام این کار وبسروری را به کار میگیرد که از کاربری که سایت فیشینگ را بازدید کرده پکتهای HTTP را پروسکی میکند تا سروری را که قصد دارد خود را جای آن بزند مورد هدف قرار گیرد یا بالعکس. بدینترتیب سایت فیشینگ به لحاظ بصری درست مانند وبسایت اورجینال خواهد بود (زیرا هر HTTP از/به وبسایت اورجینال پروکسی میشود)». این حمله خصوصاً برای عوامل تهدید راحت است زیرا دیگر نیازی ندارند سایت فیشینگ مخصوص به خود را بسازند مانند آنهایی که در کمپینهای همیشگی فیشینگ استفاده میشوند.
بردار حمله خاص
مهاجمین در کمپین فیشینگ مشاهدهشده توسط محققین مایکروسافت با ارسال ایمیل با پیوست فایل HTML به چند گیرنده در سازمانهای مختلف اولین تماس خود را با قربانیان بالقوه شروع کردند. این پیام ادعا داشت گیرندگان پیام صوتی دارند و باید برای دسترسی به آن وی پیوست کلیک کنند یا اینکه در غیر این صورت پیام ظرف چند ساعت پاک خواهد شد. اگر کاربر روی لینک کلیک کند به سایتی هدایت خواهد شد که به او میگوید ظرف یک ساعت دوباره به میلباکس حاوی پیام صوتی هدایت خواهد شد. در همین حال از کاربر اطلاعات محرمانهشان نیز درخواست میشود.
در این نقطه اما مهاجم با استفاده از کدینگ هوشمندانهای کاری منحصر به فرد انجام میدهد: پر کردن پیج لندینگ فیشینگ به صورت خودکار با آدرس ایمیل کاربر. بدینترتیب قلاب مهندسی اجتماعی مهاجم ارتقا مییابد. اگر تارگت اطلاعات محرمانه خود را وارد کند و احراز شود به پیج رسمی مایکروسافت ریدایرکت خواهد شد. با این وجود، در پسزمینه مهاجم اطلاعات را رهگیری کرده و به جای کاربر احراز هویت میشود و برای اجرای فعالیتهای بعدی خود آزادانه حکمرانی خواهد کرد. عامل تهدید در زنجیره ایمیل فیشینگ که محققین مشاهده کردهاند از احراز هویت برای انجام کلاهبرداری پرداختی در حملات ثانویه از داخل سازمان استفاده کرده است.
حملات ثانویه دستکاری ایمیل سازمانی و کلاهبرداری پرداختی
مهاجمین بعد از سرقت سشنها و اطلاعات محرمانه فقط 5 دقیقه طول کشید تا شروع کنند به اجرای کلاهبرداری پرداختی و حمله BEC (با احراز هویت در OUTLOOK برای دسترسی به ایمیلهای سازمانی و پیوستهای فایل). روز بعد آنها به این ایمیلها و فایلها هر چند ساعت یکبار دسترسی پیدا کردند تا برای اجرای مقاصد شرورانه خود فرصت خوبی را پیدا کنند. عامل تهدید همچنین ایمیل فیشینگ اورجینال را از فولدر اینباکس اکانت دستکاریشده که فرستاده بودند پاک کرد تا کسی از دسترسی اولیهشان رد و اثری پیدا نکند. این فعالیتها نشان میدهد مهاجمین سعی داشتند به طور دستی کلاهبرداری پرداختی خود را جلو ببرند. همچنین آنها از دسترسی وب Outlook روی مرورگر کروم برای اجرای کلاهبرداری پرداختی حین استفاده از کوکی سشن سرقتی از اکانت دستکاریشده استفاده کردند.
[1] multi-factor authentication
[2] adversary-in-the-middle
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
