执行摘要
Menlo Labs 最近发现了一个针对各行业高级管理人员的网络钓鱼活动,但主要针对银行和金融服务、保险提供商、物业管理和房地产以及制造业。
根据我们对网络钓鱼活动的研究,主要发现如下:
1、该活动从七月开始,一直持续到八月。
2、该活动使用了一种名为"EvilProxy"的复杂网络钓鱼工具包,它充当反向代理,拦截客户端和合法站点之间的请求。
3、"EvilProxy"能够收集会话 cookie,从而绕过非网络钓鱼防御 MFA。
4、该活动主要针对美国组织。
5、威胁行为者利用求职平台"indeed.com"上的开放重定向漏洞,将受害者重定向到冒充微软的恶意网络钓鱼页面。
这是 AiTM(中间对手)网络钓鱼攻击的典型示例,通过收集会话 cookie 使威胁行为者能够绕过 MFA 保护。
威胁情报
2023 年 7 月,Menlo Security HEAT Shield检测并阻止了一次新型网络钓鱼攻击,该攻击涉及“indeed.com”网站中的开放重定向,将受害者重定向到冒充 Microsoft 的网络钓鱼页面。因此,这会让毫无戒心的受害者相信重定向是由“indeed.com”等可信来源造成的。
图1:钓鱼邮件样本
我们发现威胁行为者使用名为“EvilProxy”的网络钓鱼即服务平台来部署网络钓鱼页面。该服务在暗网上作为基于订阅的产品进行广告和销售,计划有效期为 10 天、20 天和 31 天。其中一位名为“John_Malkovich”的演员扮演管理员和中介人的角色,为购买该服务的客户提供帮助。
该活动针对的是美国各行业组织的高管员工和其他关键管理人员。
下图描绘了该活动针对的各个部门。
插图 2:目标垂直行业的分布
这些数据是在通过 URLScan、Phishtank 和 VirusTotal 源收集的情报的帮助下进行整理的。
感染载体
感染媒介是一封带有链接的网络钓鱼电子邮件,该链接经过精心设计,来自可信来源,在本例中为“indeed.com”。单击该链接后,受害者将被重定向到虚假的 Microsoft Online 登录页面。
攻击杀伤链
攻击杀伤链的描述及逐步分解如下所示。
图3:攻击链表示
受害者收到包含 Indeed 链接的网络钓鱼邮件。
毫无戒心的受害者点击邮件中的真实链接,将受害者重定向到虚假的 Microsoft 登录页面。
该网络钓鱼页面是在 EvilProxy 网络钓鱼框架的帮助下部署的,该框架从合法登录站点动态获取所有内容。
网络钓鱼站点充当反向代理,将请求代理到实际网站。
攻击者拦截合法服务器的请求和响应
攻击者能够窃取会话 cookie。
然后,被盗的 cookie 可用于登录合法的 Microsoft 在线网站,冒充受害者并绕过非网络钓鱼防御 MFA
技术细节
什么是开放重定向漏洞?
当应用程序(有意或无意)导致重定向到不受信任的外部域时,就会发生开放重定向。此缺陷可用于利用重定向源的可信性,最终将受害者重定向到网络钓鱼站点或提供恶意软件的受感染站点。
在这种特定的攻击中,用户点击一个 URL,相信他们被定向到 Indeed.com 或其另一个子域。子域“t.indeed.com”提供了参数,用于将客户端重定向到另一个目标 (example.com),如下例所示。URL中“?”后面的参数 是 Indeed.com 独有的参数和目标参数(其参数由目标 URL 组成)的组合。因此,用户点击 URL 最终会被重定向到 example.com。在实际攻击中,用户将被重定向到网络钓鱼页面。
HTTP 标头请求和响应显示了漏洞导致的重定向链。
图4:以youtube.com为目标URL为例说明开放重定向
图5:钓鱼页面截图
威胁行为者使用 EvilProxy 网络钓鱼工具包充当反向代理,通过窃取用户会话 cookie 来执行中间人攻击,从而帮助成功绕过 MFA 规避 2 因素身份验证。
攻击者基础设施
网络钓鱼重定向链由 3 部分组成:
1、受害者收到的网络钓鱼链接
2、重定向器 URL
3、网络钓鱼页面
下图显示了此特定攻击中的重定向链。
图 6:网络钓鱼重定向链
网络钓鱼页面技术说明
人们注意到网络钓鱼页面具有子域“lmo”。并专门模仿了 Microsoft Online 登录页面。网络钓鱼页面被发现托管在能够充当反向代理的 nginx 服务器上。反向代理获取所有可以动态生成的内容(例如登录页面),然后通过拦截受害者和合法站点之间的请求和响应来充当中间对手。这有助于收集会话 cookie,这种策略可归因于 EvilProxy 网络钓鱼工具包的使用。
EvilProxy 归因
观察到的可归因于 EvilProxy 使用的伪影:
从 Shodan、URLScan 可以发现这些域名托管在 Nginx 服务器上。
网络钓鱼页面托管的资源包含常见的 uri 路径(如下所列),可用于识别它们。
该网络钓鱼工具包利用 Microsoft 的 Ajax CDN 来帮助动态获取和呈现 JavaScript 内容。在 uri 路径中寻找这些特定字符串时,我们可以在为检测 EvilProxy uri 内容而构建的 IDS 签名中观察它们。
观察到的 POST 请求之一包含受害者的电子邮件地址(在某些情况下采用 Base64 编码)和会话标识符。这也是使用 EvilProxy 网络钓鱼工具包时可以看到的一个独特的工件。IDS 规则匹配如下所示。
POST 请求示例:
https://lmo[.]bartmfil[.]com/?c29tZW9uZUBzb21lb25lLm9yZw==&session=e6ec0fe49fbfb31608198b22eaa2d00fe6ec0fe49fbfb31608198b22eaa2d00f&sso_reload=true
观察到的另一段代码是使用开源 FingerprintJS 库进行浏览器指纹识别。Domblockers 模块已广泛用于识别浏览器阻止的特定元素。https://github.com/fingerprintjs/fingerprintjs/blob/master/src/sources/dom_blockers.ts
查找具有 407 需要代理身份验证客户端错误状态代码的 IP 地址。
另一种方法是寻找具有 444 状态代码的站点,这是标准的 Nginx 服务器响应。在后端运行 nginx 服务器的站点,其子域如 (lmo. , auth. , live. ,login-live. ,mso.*)
menlo保护
Menlo 在我们的一位客户中观察到了这一活动,我们能够凭借我们的HEAT Shield成功消除这一威胁。HEAT Shield 凭借其实时分析功能能够即时检测并阻止这种网络钓鱼尝试。在 URL 信誉服务和其他安全供应商将该页面标记为恶意行为之前,HEAT Shield 能够利用基于 AI 的检测模型来分析呈现的网页,从而成功检测到网络钓鱼站点。HEAT Shield 还会在此过程中生成零时网络钓鱼检测警报,通过为 SOC 分析师提供威胁背景和丰富的数据来充分支持他们的研究,从而帮助他们提高可视性。
HEAT Shield 通过从初始访问阶段切断攻击向量(MITRE ATT&CK 框架)来保护用户免遭凭据收集和帐户泄露,并通过强制执行主动方法来处理此类高度规避的威胁,从而重新定义了安全实施方式。这种快速发展的威胁形势使得我们必须保持领先一步并通过设计投资于零信任。
结论
根据从各种来源收集的情报和进行的分析,我们可以自信地说,威胁行为者一直在使用“EvilProxy”网络钓鱼工具包,并专门利用“indeed.com”应用程序中的开放重定向漏洞来冒充 Microsoft凭证网络钓鱼和帐户泄露的在线页面。
帐户泄露仅构成攻击链的初步阶段,攻击链可能最终导致商业电子邮件泄露,潜在影响可能包括身份盗窃、知识产权盗窃和巨额财务损失。
我们很有可能会看到“EvilProxy”的使用量激增。首先,它的界面简单,易于使用,并且可以在暗网上轻松获取教程和文档。规避 MFA 的能力使其成为网络犯罪分子的强大工具。
建议
通过意识课程和培训来教育用户。
使用防网络钓鱼 MFA,例如基于 FIDO 的身份验证,例如 Yubikeys。
确保验证目标 URL 是否也与源 URL 一样合法,而不是假设它们是安全的。
使用 HEAT Shield 等会话隔离解决方案可以实时保护用户免受零小时网络钓鱼攻击。
IOCs
域名
lmo[.]roxylvfuco[.]com[.]au
lmo[.]bartmfil[.]com
lmo[.]triperlid[.]com
roxylvfuco[.]com[.]au
Earthscigrovp[.]com[.]au
mscr .earthscigrovp[.]com[.]au
vfuco.com[.]au
Catalogsumut[.]com
ivonnesart[.]com
sheridanwyolibrary[.]org知识产权
199.204.248.121
193.239.85.29
212.224.107.74
206.189.190.128
116.90.49.27
85.187.128.19
202.139.238.230转载来源:https://www.menlosecurity.com/blog/evilproxy-phishing-attack-strikes-indeed/
图片来源网络侵权可联系删除
