6分钟阅读
Trustwave SpiderLabs 一直处于活跃的监测网络钓鱼即服务(PaaS)平台的兴起,该平台在威胁行为者中越来越受欢迎。
在我们之前的博客中,我们讨论了这些平台的吸引力,并讨论了当今各种主要的网络钓鱼工具包。在这篇由两部分组成的博客中,我们将重点介绍一个名为“Rockstar 2FA”的博客”的网络钓鱼工具包,该工具包与广泛的中间人 (AiTM) 网络钓鱼攻击相关。本文还通过电子邮件活动的示例提供了 Rockstar 2FA 攻击流程的演练。
网络钓鱼活动概述
我们一直在跟踪通过传播的大规模网络钓鱼活动,该活动在 2024 年 8 月显着增加,截止撰写电子邮件论文时仍然很普遍。此活动采用 AiTM 攻击,允许攻击者拦截用户拦截和会话 cookie,这即使启用了多帐户身份验证 (MFA) 的用户仍然容易受到攻击。Microsoft 用户帐户是这些活动的主要目标,因为目标用户将被重定向到修改 Microsoft 365 (O365) 登录页面的登录页面。
此次攻击活动的显着特征之一是包含以汽车为主题的网页。通过urlscan.io,我们能够找到自2024年5月以来与此次攻击活动相关的5,000多个以汽车为主题的域名。
图1. 2024年5月至8月,通过urlscan.io统计的每月点击量超过5000次的汽车主题页面数量呈上升趋势。
Rockstar 2FA PaaS
我们已经与一个名为Rockstar 2FA的网络钓鱼工具包联系起来了,它是DadSec/Phoenix网络钓鱼工具包的更新版本。
微软追思事件背后的威胁行为者追踪为Storm-1575,其中“Storm-####”是新出现或未识别的威胁集群的临时标签。微软还报告称 ,DadSec PaaS 是 2023 年数量最多网络钓鱼活动的罪魁祸首。
爸爸安全 |
凤凰 |
摇滚明星 |
2023 年 5 月 |
2023 年末 |
2023 年末 |
经过改进的网络钓鱼工具包仍在PaaS模式下运行,营销和通信均在ICQ、Telegram和Mail.ru上进行。借助这些平台,其他想要获取易于设置的网络钓鱼工具的网络犯罪分子可以轻松获取该工具包。
图 2. Rockstar Suite 的官方 Telegram 频道在 2024 年 8 月拥有超过 1,500 名订阅者。
Telegram 的营销帖子展示了 Rockstar 2FA 的各种功能,包括双因素身份验证 (2FA) 绕过、收集 2FA cookie、反机器人保护、多个登录页面主题、随机源代码和附件、完全不可检测 (FUD)链接、电报机器人集成和用户界面的管理面板等。Rockstar 2FA 的每周订阅服务价格低至 200 美元,每周 API 续订服务价格低至 180 美元美元。它还提供每月和一次性订阅选项。
图 3. Rockstar 2FA 的 Telegram 频道的帖子展示了 Rockstar 套件的功能。
图4显示了Rockstar管理面板,其中显示了网络钓鱼活动摘要,包括阻止的机器人数量、总访问量以及有效和账户的信息。该门户还具有内置工具,如URL和附件生成器以及可用于电子邮件活动的主题自定义选项,如图5所示。
图 4. Rockstar 2FA 门户的主仪表板。此截图取自 Rockstar 2FA 的 Telegram 频道上发布的视频教程。
图 5. Rockstar 2FA 门户的“首选项”选项卡。
主题活动
我们观察到的攻击活动采用了各种电子邮件转发机制,包括被盗账户和诈骗电子邮件营销平台等合法服务。这些网络钓鱼转发方法更为有效,因为电子邮件来自受信任或合法的来源,而不是太可能被传统过滤器标记。根据我们的数据,这些攻击影响了多个行业和地区的用户,而不是针对特定群体。
图 6. Rockstar 2FA 网络钓鱼活动的电子邮件攻击流程。
该工具包的威胁者利用各种模板和主题成功对受害者发起社会工程攻击。以下是在钓鱼邮件中观察到的普遍主题:
-
文档和文件共享通知
-
电子签名平台主题信息
-
人力资源和薪资相关信息
-
MFA 诱饵
-
IT部门通知
-
密码/账户相关人员
-
语音邮件通知
图 7.链接到 Rockstar 2FA PaaS 的电子邮件示例。
在我们分析的消息中,各种技术被用来绕过反垃圾邮件检测,例如干扰方法和使用FUD链接,包括弥补合法链接服务、HTML和PDF等附件文档,甚至二维码。
图 8. 从 urlscan.io 观察到的钓鱼链接中抢合法平台的示例。
登陆页面
根据AiTM服务器的响应,此PaaS发起的钓鱼活动将引导访问者引导至钓鱼页面或汽车主题网站。在到达这两个页面之前,着陆页面访问者将接受预过滤。
反机器人
一旦重定向到登录页面,用户将面临 Cloudflare Turnstile 挑战。Cloudflare Turnstile 是一项免费服务,旨在保护网站机器人等不受欢迎的访问者的攻击。该服务于 2023 年 9 月向公众发布。威胁行为者开始使用它来阻止其网络钓鱼页面的自动分析。
自2024年5月以来,urlscan.io上与此活动相关的点击次数超过3,700次,其URL格式为“ https?://{URLDOMAIN}/{RANDOM_4-5_LETTERS}/ ”。从2024年开始年6月到8月,点击次数呈现显着增长趋势,并且在接下来的几个月中点击次数持续增加。
图 9. 此图表显示了从 urlscan.io 观察到的 Cloudflare Turnstile 页面使用的网络钓鱼活动的每月数量。
AiTM 网络钓鱼页面
通过 Cloudflare Turnstile 挑战后,将搜索钓鱼页面。此任务在调用登录页面上嵌入的 JavaScript 时发生。
图 10. 通过 Cloudflare Turnstile 质询后,将搜索网络钓鱼页面。
JavaScript包含两个函数:
1. 第一个函数包含一个 AES-CBC 解密例程,该例程接受 JSON 格式的数据。JSON 必须具有以下内容作为密钥:
關鍵 |
描述 |
一个 |
AES-CBC 编码格式 |
b |
用于派生PBKDF2密钥的盐 |
丙 |
AES 解密的初始化操作 (IV) |
d |
用于派生 PBKDF2 钥匙的密码 |
2.第二个函数利用了第一个函数。它解密AiTM服务器的域(该域本身是硬编码的),然后通过AJAX POST请求从服务器检索钓鱼页面。服务器的响应是JSON格式的加密数据。解密的数据是钓鱼页面或诱饵汽车主题网站的HTML代码。根据我们的测试,我们怀疑AiTM服务器端发起进一步的用户验证,例如IP检查。因此,对于某些用户或位置,将显示汽车主题网页而不是视觉页面。
图 11. AiTM 服务器将提供钓鱼页面或诱饵的 HTML 代码。
尽管对 HTML 代码进行了多次干扰,但钓鱼页面的设计与被修改品牌的登录页面非常相似。页面仍然应用了基于语法的干扰。“登录”字符串被插入的单词,字体大小几乎为零。
用户在钓鱼页面上提供的所有数据都会立即发送到 AiTM 服务器。然后,窃取的凭据将用于搜索目标帐户的会话 cookie。根据检查的网络钓鱼页面,与此工具包和 MFA 方法相关的名称可能是字母“a”到“e”其中之一。在 POST 请求中,名称包含在 JSON 数据键“service”中。
图 12. 钓鱼页面处理 MFA 方法的代码片段。
诱饵页面
访问 AiTM 服务器的域名和显示诱饵页面。以下是我们在调查过程中发现的托管诱饵内容的域名:
图 13. 标注的 Rockstar 2FA 相关领域及其相应的诱饵登陆页面。
结论
商品网络钓鱼攻击(例如与 Rockstar 2FA PaaS 平台相关的活动)由于成本低且易于部署且继续盛行。通过集成 AiTM 技术,可以绕过 MFA 等额外的安全层。发生二次攻击(例如接管、使用受感染账户发起网络钓鱼活动或执行商业电子邮件攻击(BEC)攻击)的可能性也增加了。
Rockstar 使用复杂的策略、技术和程序 (TTP) 引发了大规模网络钓鱼攻击,包括 FUD 链接、QR 码和 Cloudflare Turnstile 挑战。使用此工具包进行网络活动钓鱼的指示将在本博客系列的第一篇二部分中介绍。
相反,Rockstar 主导的网络钓鱼活动的持续进行,该 PaaS 背后的威胁行为者很可能会继续更新该工具包或开发更先进的网络钓鱼工具包。
国际奥委会:
初始和/或中间链接:
-
hxxp[://]cc[.]naver[.]com/cc?a=pst[.]link&m=1&nsc=Mblog[.]post&u=hxxps%3A%2F%2Fwww[.]curiosolucky[.]com/dos/
-
hxxps[://]www[.]curiosolucky[.]com/dos/
-
hxxps[://]magenta-melodious-garnet[.]glitch[.]me/public/rc[.]htm
-
hxxp[://]track[.]senderbulk[.]com/9164124/c?p=pDvu1IoaZGOuiG9hOsGCPPBXFmtx2_vWwJfaiQBzucIA8v9mjc3ztSyOneYxrKLjPngUzpA11TuGi1aI2aLIylOF1nHcpBoP4YzUvVEMYHtwY1nRlztPcQOoC6S6KSWuNNAgIAVnfapCVCgF1cOjSXtedVH_tWc1vLDH7FDQA0VZbtHORodc9jBuNuHh0DMH7zq9Mo6OMyLjnApzvQ3Kvw==
-
hxxps[://]edlyj[.]r[.]ag[.]d[.]sendibm3[.]com/mk/cl/f/sh/OycZvHuFo1eQsnbcJj9r9GQ4/Lf5JdugpPYQV
-
hxxps[://]link[.]trustpilot[.]com/ls/click?upn=u001[.]u9-2FNN-2FjLZCX2YnHXPQ1lM4gqkGMqJbqpuJx-2FSxHxK-2FHK5blCjdqA4sTpFhMxVuvd4F2C_ytJ-2BU3wnk2t0HzMc51nsdI5jCvjlH5KkDNOR5oq1uEJItlkSMD-2F0mdF-2F-2B0td2onmiDV9xpRWw-2FdvTM3A0wCvdsiFkF1kSdgdFrVAE78L337Qo3s56Gk0s6E6DwCfNIKl8bRli5iK2LUC2ldGxjFPYGCigbeEgNBwg1dcBwOOCSSMKGEAZxhwoFvF5-2Fm5JIsTGsZgQlFDpHLis00H4SRzSjnDGYeia8OxbZOi3NmC9Zu0y59gc0DEENkQqz3vpJLxuDhLJpYJpzgnl5FKcj4hKsjfHYOBYWFlwHMrDBS4Cvh4Jej-2FzpBQsqkaAsezwGEEHqB22DcDQgay2Cm-2BbwAcZMOxqHcQjy3nz6aJyACCXDZkVr8P3iPKgjlqDjbsFb-2BJ-2BuUIiNGVhLp1-2F3wvR6hrzO1bA127bZ68-2BmxJz7ux0F5Htfv1SipEoRgLt6VWovRUTbAmRMRtZHvPS49KRBqCjzSnmChbhoVriyoBm5l9IeUaV5raA4vZxPckk3vcYaVa0xmCZLDFC14eTimJvqIk1CqOPtji8DUcs3pyfer4J-2Fk-3D
-
hxxps[://]u1427642[.]ct[.]sendgrid[.]net/ss/c/u001[.]d04lnC885Iiw-JDl08ZraoSXFe9HwA-SkWLpgNZDbZzgIKoIZZYrlHao4m6r2Vm6/4a0/vg0RNJ9pTvCzCNn5rS7A6Q/h0/h001[.]3pGdTVyFoOmaVG2IhlxshDsg0cLE6sckLThbmumHqI0
-
hxxps[://]docsend[.]com/view/q6f7ukbdeviagha2
-
hxxps[://]cloudflare-kol[.]github[.]io/out/red[.]html?url=aHR0cHM6Ly9zaG9ydHVybC5hdC80SlZnbg==
-
hxxps[://]shorturl[.]at/4JVgn
-
hxxps[://]system23cfb9[.]link[.]bmesend[.]com/api/LinkHandler/getaction2?redirectParam2=K09weU5vMDBKWXFUK0ZPdkw4azdKWHk5QlJsZkNXWXlLMUxiMHdXQU1YK3FFZGFsZG9ZQ2ZqNUdHd3ErZEpLeGpyeVE1U1hmU2xoSy9WemJySVEzQytGajZBVWE4em5jaEpuRHhEa05xOTZOcWxQRVdUN1g2S2ViR3YvZjN1K2dJZk9rQTRVajZmMD0%3d
-
hxxps[://]r[.]g[.]bing[.]com/bam/ac?!&&daydream=vasectomy&u=a1aHR0cHM6Ly9jeWJlcm5leGlsbHVtby56YS5jb20vVFZOUHIv==
-
hxxps[://]ctrk[.]klclick3[.]com/l/01J5V2NHDC0KB0P8B51Z9PCPZS_0
-
hxxps[://]googlevoicesecrets[.]com/EHkslw5/auth/?_kx=lKiN48B6FuEu_OYp2PJPXw[.]Sdgjsn
-
hxxps[://]www[.]google[.]com[.]au/url?q=//www[.]google[.]co[.]nz/amp/s/synthchromal[.]ru/Vc51/
-
hxxps[://]semi-zcmp[.]maillist-manage[.]com/click/1122f15d012c0933f/1122f15d012c08f77?utm_source=aynures-newsletter[.]beehiiv[.]com&utm_medium=newsletter&utm_campaign=yes-my-gee&_bhlid=c1191c405e82c32c645acb82f875fdd8fad29209
-
hxxps[://]involucrases[.]sa[.]com/
-
hxxps[://]callcenter838685d0747612ac193e85fcb5ae45287b09e8a0mailvoice[.]s3[.]us-east-2[.]amazonaws[.]com
-
hxxps[://]payment-confirmation-to-your-bank-account-s-dabringhaus-licatec[.]packinqsystems[.]de/
-
hxxps[://]pub-fe581134d7ae4857a97443270a27e0fa[.]r2[.]dev/0nedrive[.]html
-
hxxps[://]docsecureatt-docdrive-filedoc[.]pages[.]dev/
登陆页面:
-
hxxps[://]bluntchiefei[.]za[.]com/XTCfX/
-
hxxps[://]botolaasprop[.]sa[.]com/N26Vu/
-
hxxps[://]erfolgstipss[.]com[.]de/Gnq8/
-
hxxps[://]digitalgadgetbuzz[.]sa[.]com/WyAn/
-
hxxps[://]bitesizeusaei[.]za[.]com/ol6Bu/
-
hxxps[://]enterbuzztechscener[.]pl/pbtmx/
-
hxxps[://]pfremiumshirts[.]store/D91p/
-
hxxps[://]lifestylesyncteche[.]pro/Ykiy/
-
hxxps[://]bytequestixo[.]pro/wWge/
-
hxxps[://]cybernexillumo[.]za[.]com/TVNPr/
-
hxxps[://]novatechies[.]cbg[.]ru/BUeEj/
-
hxxps[://]synthchromal[.]ru/Vc51/
-
hxxps[://]cyberdynalumeo[.]ru/1RB3Y/
AiTM服务器域:
-
entertainmentcircuitss[.]ru
-
fruechtebox-expresszsnu[.]ru
-
recambioselecue[.]ru
-
googlesecurityforums[.]Moscow
-
entertaingadgetop[.]ru
-
ponnet[.]msk[.]su
-
mieten[.]com[.]ru
-
albumilustrado[.]msk[.]ru
完整研究:
hxxps://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas/
原文始发于微信公众号(OSINT研习社):【必看】Rockstar 2FA:网络钓鱼即服务 (PaaS) 背后的工具
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论