کمپین فیشینگ 0ktapus

09 آبان 1401 کمپین فیشینگ 0ktapus

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ احراز هویت چندعاملی (MFA) اغلب به عنوان نوعی امنیت هویت سازمانی برای محافظت از سازمان ها در برابر سرقت اطلاعات محرمانه، حملات دیکشنری[1] و تکنیک های جستجوی فراگیر[2]مورد استفاده قرار می گیرد؛ اما اگر MFA توسط یک کلاهبردار رهیگری شود چه؟ در عرصه سایبری –جایی که مدام بین نیروها بر سر استراتژی های تهاجمی و تدافعی رقابت است-  تکنیک هایی به چشم می خورد که توانسته اند بر MFA پیروز شوند. در این مطلب قرار است به تکنیک هایی بپردازیم که برای غلبه بر IAM (مدیریت دسترسی به هویت سازمانی) و اجرای حملات زنجیره تأمین از ابزارهای به شدت ساده ای استفاده می کنند. با ما همراه بمانید.

مقدمه

برای سال ها، مجرمان سایبری از مهندسی اجتماعی و حملات فیشینگ به منظور فریب دادن قربانیان از همه جا بی خبر استفاده می کرده اند. قربانیان با همین ترفندها اطلاعات محرمانه خود را دو دستی تقدیم مجرمان کرده و آن ها نیز از این اطلاعات برای دسترسی به منابع سازمانی استفاده می کنند. در تاریخ 24 جولای 2022 تحلیلگران اطلاعاتی Group-IB درخواستی از کلاینت راهکار هوش تهدید دریافت کردند که در آن، اطلاعات بیشتری در مورد حمله فیشینگ اخیری که تجربه شده بود خواسته شده بود.

بررسی بعد از این شروع شد که کلاینت نام های دامنه و آدرس های آی پی استفاده شده در حمله را ارائه داد. تیم تحقیقاتی با استفاده از ترکیبی از ابزارهای درون خانگی و عمومی توانست فهرستی تهیه کند از دامنه هایی که مورد حمله قرار گرفته بودند. این کلاینت یکی از چندین کلاینت سازمان های مهم بود که قربانی کمپین فیشینگی به نام 0ktapus شده بود. مهاجمین با در اختیار داشتن این اطلاعات توانسته بودند به منابع هر سازمانی که قربانیان دسترسی داشتند به طور غیرقانونی وصل شوند. افزون بر این، به مجرد اینکه مهاجمین سازمانی را دستکاری می کردند سریعاً قادر بودند حملات زنجیره تأمین خود را راه بیاندازند و این نشان می دهد آن ها از پیش برنامه ریزی های خود را کرده بودند.

در نتیجه تیم پژوهشی تصمیم گرفت مشخصاً روی 0ktapus تحقیقات خود را کلید بزند؛ درست زمانیکه سرویس سیگنال گزارش داد 1900 اکانت کاربری اش توسط 0ktapus هک شده است. امید است در این مقاله به درک بهتری از ساز و کار این نقشه سایبری برسید و از راهکارهای امنیتی نیز برای مصون ماندن از گزند آن بهره مند شوید.

بررسی نقشه حمله 

سایت های فیشینگ

به طور کلی، تیم هوش تهدید Group-IB تعداد 169 دامنه منحصر به فرد در کمپین 0KTAPUS پیدا کرد. موقع آنالیز این سایت های فیشینگ، تحلیلگران توجه خود را به منابعی که داشت مورد استفاده قرار می گفت دادند: در بسیاری از مواقع این منابع شامل تصاویر، فونت یا اسکریپت هایی می شدند که انقدری خاص بودند بخواهند با استفاده از همان کیت فیشینگ برای پیدا کردن سایر سایت ها استفاده شوند. در این سناریو، تیم تصویری را پیدا کرد که به طور قانونی دارد توسط  سایت هایی که از احراز هویت Okta استفاده می کنند به کار می رود (استفاده توسط کیت فیشینگ). اگر مقدار هش این تصویر را با کلیدواژه –nuxt (نام فولدری استفاده شده توسط کیت فیشینگ) مرتبط کنیم به فهرست منحصر به فردی از دامنه های مربوطه می رسیم. این دامنه ها همگی توسط مهاجمین برای هدف قرار دادن سازمان ها در چندین صنعت (بیشتر در آمریکا و کانادا) مورد استفاده قرار گرفته بودند. با توجه به این حقیقت که بسیاری از این سازمان ها از سرویس احراز هویت Okta استفاده می کنند ما نام این کمپین فیشینگ را 0ktapus گذاشتیم. تا اینجای کار واضح است که قصد مهاجمین دسترسی به سرویس های سازمانی بوده است.

از نگاه قربانی، سایت فیشینگ بسیار قانع کننده به نظر می ؤسید زیرا شبیه به پیج اصلی اش بوده است. قربانیان مجبور بودند نام کاربری و رمزعبور خود را بدهند و حالا وقتش بود از آن ها در صفحه دوم کد احراز هویت دوعاملی خواسته شود. وقتی کد در اختیار فیشرها رسید، مرورگر مجبور می شد کپی قانونی ابزار ادمین ریموت anydesk را دانلود کند. هنوز هدف حقیقی تحمیل افزونه anydesk به دارایی قربانی خصوصاً وقتی لینک فیشینگ از طریق اس ام اس یا گوشی همراه ارسال می شد مشخص نشده است. از این رو نتیجه می گیریم مهاجم برای هدف قرار دادن دستگاه های موبایل به درستی کیت فیشینگ خود را تنظیم نکرده بوده است؛ این خود نشان می دهد مهاجم تازه کار بوده!

تحلیل کیت فیشینگ

مرحله بعدی با روشی کارامد در پیدا کردن سایت های . جدید فیشینگ، قرار دادن کپی کیت فیشنگی بود که داشت مورد استفاده قرار می گرفت. این کار انقدر شناخته شده است که حتی مجرمان سایبری هم از این سرویس اسکن آنتی ویروس استفاده می کنند. سرچ هس تصویر که برای ردیابی دامنه های فیشینگ استفاده می شد به مثبت کاذب های بسیار و فقط یک مثبت حقیقی منجر شد. اینطور به نظر می رسد که مهاجمین کیت را بین خود (با استفاده از سرویس میزبانی فایل به نام Pomf.cat) تقسیم کرده بودند و یکی از آن ها لینک را با Virustotal اسکن کرده تا مطمئن شود در آن هیچ بدافزاری نیست. با کپی این کیت فیشینگ تیم تحقیقاتی توانست درک بهتری از تهدیدی که کلاینت با آن مواجه بود داشته باشد. این روزها بسیاری از عاملین فیشینگ ترجیح می دهند از کیت هایی استفاده کنند که داده های دستکاری شده (بدست آمده از قربانی) را به کانال تلگرام ارسال می کنند. از این رو دیدن اینکه کیت تفاوتی نکرده بود تیم را غافلگیر نکرد.

راهکارهای امنیتی

  •          کاربران نهایی باید همیشه یوآرال های سایتی که اطلاعات محرمانه خود را در آن وارد می  کنند به دقت بررسی کنند. این خصوصاً برای کاربرانی که دارای اکانت های ویژه هستند اهمیت پیدا می کند.
  •          با همه یوآرال هایی که از منابع ناشناس دریافت می کنید به عنوان موارد مشکوک برخورد کنید. اگر هم شک دارید سریعاً با تیم تحلیل امنیتی ارتباط بگیرید.
  •          اگر فکر می کنید اطلاعات محرمانه تان ممکن است دستکاری شود فوراً پسورد خود را تغییر دهید، از تمام سشن های فعال خود خارج شوید و یا رخداد را به مدیر یا تیم امنیتی خود گزارش دهید.

 

 

[1]Dictionary attacks، یکی از شایع ترین روش ها برای حدس زدن رمزهای عبور است (واژگان یا اعدادی که اکثریت مردم از آن استفاده می کنند).

[2]Brute force

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,500,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,254,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,125,410 ریال11,254,100 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    75,067,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,617,750 ریال21,235,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,225,925 ریال30,451,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,287,700 ریال32,575,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    67,563,925 ریال135,127,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,077,425 ریال162,154,850 ریال
    خرید
  • Kaspersky Small Office Security

    259,752,350 ریال
    خرید
  • Kaspersky Small Office Security

    94,590,925 ریال189,181,850 ریال
    خرید
  • Kaspersky Small Office Security

    302,545,100 ریال
    خرید
  • Kaspersky Small Office Security

    108,104,425 ریال216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    346,088,600 ریال
    خرید
  • Kaspersky Small Office Security

    121,617,925 ریال243,235,850 ریال
    خرید
  • Kaspersky Small Office Security

    388,881,350 ریال
    خرید
  • Kaspersky Small Office Security

    123,870,175 ریال247,740,350 ریال
    خرید
  • Kaspersky Small Office Security

    396,388,850 ریال
    خرید
  • Kaspersky Small Office Security

    174,545,800 ریال349,091,600 ریال
    خرید
  • Kaspersky Small Office Security

    558,550,850 ریال
    خرید
  • Kaspersky Small Office Security

    225,221,425 ریال450,442,850 ریال
    خرید
  • Kaspersky Small Office Security

    720,712,850 ریال
    خرید
  • Kaspersky Small Office Security

    272,143,300 ریال544,286,600 ریال
    خرید
  • Kaspersky Small Office Security

    870,862,850 ریال
    خرید
  • Kaspersky Small Office Security

    516,137,050 ریال1,032,274,100 ریال
    خرید
  • Kaspersky Small Office Security

    1,651,642,850 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد