W3LL olarak bilinen bir tehdit aktörü, 8.000'den fazla Microsoft 365 kurumsal hesaptan ödün veren diğer araçlarla birlikte çok faktörlü kimlik doğrulamasını atlayabilen bir kimlik avı kiti geliştirdi.
On ay içinde güvenlik araştırmacıları, W3LL’nin kamu hizmetlerinin ve altyapısının, 56.000'den fazla Microsoft 365 hesabı için kimlik bilgilerini hedefleyen yaklaşık 850 kimlik avı oluşturmak için kullanıldığını keşfetti.
En az 500 siber suçlu bir topluluğa hizmet eden W3LL’nin özel kimlik avı aracı, milyonlarca ABD doları mali kayıplara neden olan iş e -posta uzlaşma (BEC) saldırılarında kullanıldı.
Araştırmacılar, W3LL’nin envanterinin neredeyse bir BEC operasyonunun tüm öldürme zincirini kapsadığını ve “tüm teknik beceri seviyelerinden siber suçlular” tarafından işletilebileceğini söylüyor.
Bugün bir raporda, Siber Güvenlik Şirketi Grup-IB, W3LL ve BEC Grupları için en gelişmiş kötü niyetli geliştiricilerden biri olarak nasıl büyüdüğü hakkında ayrıntılar sunuyor.
W3LL’nin etkinliğinin ilk kanıtı, geliştiricinin spam için kullanılan W3LL SMTP Gönderen adlı toplu e -posta gönderme için özel bir araç sunmaya başladığı 2017'den geliyor.
Aktörün popülaritesi ve işi, Microsoft 365 kurumsal hesaplarına odaklanan özel bir kimlik avı kiti satmaya başladığında büyümeye başladı.
Araştırmacılar, 2018 yılında W3LL, araçlarını siber suçluların kapalı bir topluluğuna tanıtabileceği ve satabileceği İngilizce konuşan bir pazar olan W3LL mağazasını başlattı.
“W3LL’nin ana silahı W3LL paneli, ortada düşman işlevselliği, API, kaynak kodu koruması ve diğer benzersiz yetenekleri içeren sınıftaki en gelişmiş kimlik avı kitlerinden biri olarak kabul edilebilir”-Grup-IB
Aktör, çok faktörlü kimlik doğrulamasını (MFA) atlamak için tasarlanmış W3LL panelinin yanı sıra, hepsi BEC saldırıları için hazırlanmış 16 araç daha sağlar. Katalog şunları içerir:
Grup-Ib'e göre, W3LL Store, kurbanları seçmenin ilk aşamasından bir BEC saldırısı dağıtmak için çözümler sunuyor, kimlik avı, silahlı eklerle (varsayılan veya özelleştirilmiş), kurbanların gelen kutularına inen kimlik avı e-postalarını piyasaya sürmeye hazırlıyor.
Araştırmacılar, W3LL'nin araçlarını, tehlikeye atılmış web sunucuları ve hizmetleri üzerinde dağıtılarak ve barındırarak algılanmaktan veya devredilmesini önlemek için yeterince yetenekli olduğunu söylüyor.
Bununla birlikte, müşteriler de savunmasız sistemler bulmak ve onlara kendi başlarına erişmek için W3LL’in Okelo tarayıcısını kullanma seçeneğine sahiptir.
W3LL'nin e -posta filtrelerini ve güvenlik aracılarını atlamak için kullandığı bazı teknikler, e -posta başlıkları ve metin gövdesi (punycode, html etiketleri, resimler, uzak içerikli bağlantılar) için çeşitli gizleme yöntemlerini içerir.
İlk kimlik avı bağlantıları, algılamadan kaçan birden fazla yöntem kullanılarak da teslim edilir. Bunlardan biri, e -posta gövdesine gömmek yerine kimlik avı ekleridir.
Araştırmacılar, bağlantının ek olarak gelen bir HTML dosyasına yerleştirildiğini keşfetti. Kurban, bir belge veya sesli mesaj olarak gizlenebilecek kötü amaçlı HTML'yi başlattığında, bir tarayıcı penceresi “orijinal görünümlü MS Outlook animasyonu” ile açılır.
Bu, Microsoft 365 hesap kimlik bilgilerini toplamaya hazır W3LL panel kimlik avı sayfasıdır.
Vahşi doğada keşfedilen bir W3LL kimlik avı ekini analiz eden Grup-IB, Base64 kodlaması yoluyla gizlenmiş JavaScript kullanarak bir IFrame'de bir web sitesi görüntüleyen bir HTML dosyası olduğunu fark etti.
Haziran ayı sonlarında güncellenen daha yeni bir versiyonda W3LL, birden fazla gizleme ve kodlama katmanı ekledi. Komut dosyasını HTML koduna dahil etmek yerine doğrudan W3LL panelinden yükler.
Daha yeni varyant için olaylar zinciri şuna benziyor:
Grup-IB araştırmacıları, bir kimlik avı yemindeki ilk bağlantının W3LL panelinde sahte Microsoft 365 giriş sayfasına yol açmadığını ve W3LL panel kimlik avı sayfalarının keşfini önlemeyi amaçlayan bir yönlendirme zincirinin sadece başlangıcı olduğunu açıklar.
W3LL'nin bir Microsoft 365 hesabından ödün vermesi için, kurban ve Microsoft sunucusu arasındaki iletişimin W3LL panelinden ve arka uç olarak hareket eden W3LL mağazasından geçtiği rakip/ortadaki adam (AITM/MITM) tekniğini kullanır. sistem.
Amaç, kurbanın kimlik doğrulama oturumu çerezini almaktır. Bunun gerçekleşmesi için, W3LL panelinin birkaç adımdan geçmesi gerekiyor:
W3LL paneli kimlik doğrulama oturumu çerezini aldıktan sonra, hesap tehlikeye girer ve giriş isteğinin meşru görünmesi için kurban bir PDF belgesi gösterilir.
Contool'u kullanarak saldırgan, kurbanın kullandığı e -postaların, telefon numaralarının, eklerin, belgelerin veya URL'lerin bulgusunu otomatikleştirebilir, bu da yanal hareket aşamasına yardımcı olabilir.
Araç ayrıca gelen e -postaları izleyebilir, filtreleyebilir ve değiştirebilir, ayrıca belirli anahtar kelimelere dayalı bir telgraf hesabı bildirimlerinde alabilir.
Grup-Ib'e göre, böyle bir saldırıdan gelen tipik sonuçlar:
Grup-IB’in raporu, W3LL panelinin işlevselliğine derinlemesine bakar ve teknik düzeyde bazı özelliklerin, algılama veya veri toplama, amaçlanan hedefe ulaşmak için nasıl çalıştığını açıklar.
W3LL paneli, geliştiricinin taç mücevheridir ve üç ay boyunca 500 $ ve aylık 150 $ yenileme fiyatı gelir. Bunu etkinleştirmek için bir lisans da satın alınmalıdır.
Körük, kit ve yönetim paneli için satın alma sayfasıdır:
W3LL Tehdit Oyuncusu yaklaşık beş yıldır var ve mağazada 12.000'den fazla eşyaya sahip olan 500'den fazla siber suçlu bir müşteri tabanını topladı.
Kimlik avı ve BEC ile ilgili araçların yanı sıra, W3LL ayrıca tehlikeye atılan web hizmetlerine (Web kabuğu, e-posta, içerik yönetim sistemleri) ve SSH ve RDP sunucularına, barındırma ve bulut hizmeti hesapları, işletme e-posta alanları, VPN hesapları ve kaçırılmış e-posta hesaplarına erişim sağlar. .
Grup-IB araştırmacıları, Ekim 2022 ile Temmuz 2023 arasında W3LL'nin 500.000 doları aşan tahmini bir ciro için 3.800'den fazla ürün sattığını söylüyor.
EvilProxy Kimlik Yardım Kampanyası 120.000 Microsoft 365 kullanıcısını hedefliyor
Classisham Servis olarak sahtekarlık genişliyor, şimdi bankaları ve 251 markayı hedefliyor
QR kod kimlik avı saldırısında hedeflenen büyük ABD enerji organı
Interpol, hizmet olarak 16shop kimlik avı platformunu düşürür
İspanya Lockbit Locker Fidye Yazılımı Kimlik Yardım Saldırılarını uyarıyor
Kaynak: Bleeping Computer