点击蓝字 关注我们
Trustwave SpiderLabs 一直在积极监控 钓鱼即服务(Phishing-as-a-Service,PaaS)平台的兴起,这些平台在威胁行为者中越来越受到欢迎。
在我们之前的博客中,我们探讨了这些平台的吸引力,并讨论了当前的几种主要钓鱼工具包。在这篇两部分的博客中,我们将重点介绍名为 Rockstar 2FA 的钓鱼工具包,它与广泛的 中间人攻击(AiTM)钓鱼攻击有关。本文还将通过邮件攻击案例,详细讲解 Rockstar 2FA 的攻击流程。第二部分可以在此处阅读。
钓鱼攻击概述
我们一直在跟踪一个广泛的钓鱼攻击活动,该活动通过电子邮件传播,并在2024年8月显著增加,至今仍然盛行。该活动采用了中间人攻击(AiTM),使攻击者能够截取用户的凭证和会话cookie,这意味着即使启用了多因素认证(MFA)的用户也可能仍然容易受到攻击。微软用户账户是该活动的主要目标,受害者将被重定向到设计模仿微软365(O365)登录页面的钓鱼网站。
该钓鱼活动的一个显著特点是结合了以汽车为主题的网页。通过urlscan.io,我们发现自2024年5月以来,有超过5000个与此活动相关的汽车主题域名访问记录。
Rockstar 2FA PaaS
我们将此次钓鱼活动与名为“Rockstar 2FA”的钓鱼工具包关联起来,它是DadSec/Phoenix钓鱼工具包的更新版。
微软将幕后攻击者标记为Storm-1575,其中“Storm-####”是用于标识新兴或未识别威胁集群的临时标签。微软还报告称,DadSec PaaS在2023年发起了部分钓鱼活动,成为当年钓鱼攻击量最高的工具之一。
DadSec | Phoenix | Rockstar |
---|---|---|
2023年5月 | 2023年末 | 2023年末 |
这个改进版的钓鱼工具包仍然采用PaaS模式,其营销和传播主要通过ICQ、Telegram和Mail.ru等平台进行。通过这些平台,该工具包变得更加容易获取,其他网络犯罪分子也能轻松使用,快速搭建钓鱼攻击。
Telegram上的营销帖子展示了Rockstar 2FA的各种功能,包括绕过双重身份认证(2FA)、收集2FA验证码、反机器人保护、多种登录页面主题、随机化源代码和附件、完全不可检测(FUD)链接、Telegram机器人集成,以及用户友好的管理面板等。Rockstar 2FA的订阅服务起价为200美元,提供为期两周的服务,而API续订服务为180美元两周。此外,它还提供按月和一次性支付的订阅选项。
图4展示了Rockstar管理面板,其中包含钓鱼活动的总结信息,包括被拦截的机器人数量、总访问量以及有效和无效账户的数据。该面板还内置了多种工具,如URL和附件生成器,并提供主题自定义选项,供电子邮件营销活动使用,如图5所示。
电子邮件营销活动
我们观察到的这些营销活动使用了多种电子邮件投递方式,包括被攻击者控制的账户和滥用的合法服务(如电子邮件营销平台)。由于这些钓鱼邮件来自受信任或合法的来源,因此更容易避开传统过滤器的检测,效果也更为显著。根据我们的数据,这些攻击影响了多个行业和地区的用户,而不仅仅是针对某一特定群体。
该钓鱼工具的威胁行为者使用了不同的模板和主题来成功实施社会工程攻击。以下是我们观察到的常见钓鱼信息主题:
-
文档和文件共享通知 -
电子签名平台相关信息 -
人力资源和工资单相关信息 -
多因素认证(MFA)诱饵 -
IT部门通知 -
密码/账户相关警告 -
语音邮件通知
在我们分析的这些邮件中,它们使用了多种技术来绕过反垃圾邮件检测,例如混淆方法和FUD链接的使用,包括滥用合法的链接服务、HTML和PDF等文档附件,甚至二维码。
登录页面
该PaaS的钓鱼活动将用户引导至钓鱼页面或车主题网站,具体取决于AiTM服务器的响应。在到达这两个页面之前,登陆页面的访客将会经过预筛选。
Antibot
用户在被重定向到登录页面后,会看到一个Cloudflare Turnstile验证挑战。Cloudflare Turnstile是一项免费的服务,旨在防止机器人等不受欢迎的访问者进入网站。该服务于2023年9月公开发布。攻击者开始使用该服务来阻止其钓鱼页面被自动化分析工具检测。
自2024年5月以来,urlscan.io上与此活动相关的URL访问量超过了3,700次,URL格式为‘https?://{URLDOMAIN}/{RANDOM_4-5_LETTERS}/
’。数据显示,从2024年6月到8月,访问量显著增加,随后几个月继续保持增长趋势。
AiTM 钓鱼页面
通过Cloudflare Turnstile挑战后,钓鱼页面将被加载。这一过程发生在着陆页面中的嵌入式JavaScript被调用时。
该JavaScript包含两个函数:
-
第一个函数包含一个AES-CBC解密过程,该过程接受JSON格式的数据。该JSON数据必须包含以下键值:
键 | 描述 |
---|---|
a | AES-CBC编码的数据 |
b | 用于派生PBKDF2密钥的盐值 |
c | 用于AES解密的初始化向量(IV) |
d | 用于派生PBKDF2密钥的密码短语 |
-
第二个函数调用了第一个函数。它解密了AiTM服务器的域名,该域名被硬编码在函数中,然后通过AJAX POST请求从服务器获取钓鱼页面。服务器的响应是加密的JSON格式数据。解密后的数据是钓鱼页面的HTML代码,或者是一个伪装成汽车主题网站的页面。根据我们的测试,我们怀疑在AiTM服务器端还有进一步的用户验证过程,例如IP检查。因此,某些用户或特定地区的用户可能会看到汽车主题网页,而不是伪造的登录页面。
钓鱼页面的设计高度仿照所模仿品牌的登录页面,尽管其 HTML 代码经过了多层混淆处理。页面中还应用了基于语法的混淆手段,甚至在“登录”字符串中插入了字体大小接近零的隐藏文字。
用户在钓鱼页面上输入的所有数据都会立即发送到 AiTM 服务器。然后,泄露的凭据将被用来获取目标账户的会话 cookie。根据我们分析的钓鱼页面,与该工具包相关的名称和 MFA 方法可能是字母 'a' 到 'e' 中的任意一个。在 POST 请求中,该名称会被包含在 JSON 数据的 'service' 键中。
与技术
访问 AiTM 服务器的域名时,也会显示诱饵页面。以下是我们在调查过程中发现的一些托管诱饵内容的重点域名:
URL名称 | 主题 | 截图 |
---|---|---|
Google 安全 | Googlesecurityforums[.]moscow | |
呼叫中心语音邮件 | callcenter838685d0747612ac193e85fcb5ae45287b09e8a0mailvoice.s3.us-east-2.amazonaws[.]com | |
支付确认 | payment-confirmation-to-your-bank-account-s-dabringhaus-licatec.packinqsystems[.]de | |
Microsoft OneDrive | pub-fe581134d7ae4857a97443270a27e0fa.r2[.]dev/0nedrive.html | |
文件共享 | docsecureatt-docdrive-filedoc.pages[.]dev/ |
图13. 与Rockstar 2FA相关的显著域名及其对应的诱饵登录页面。
结论
商品化钓鱼攻击(如与Rockstar 2FA PaaS平台相关的攻击)由于其低成本和易于部署,仍然十分猖獗。通过集成AiTM技术,攻击者能够绕过多因素认证(MFA)等额外的安全防护层。同时,这类攻击还可能引发二次风险,例如账户接管、利用被攻陷的账户发起钓鱼活动,或实施商务邮箱劫持(BEC)攻击。
Rockstar平台推动了大规模的钓鱼活动,其战术、技术与程序(TTPs)异常复杂,包括使用FUD链接、二维码以及Cloudflare Turnstile挑战等手段。有关使用该钓鱼工具包的典型钓鱼攻击活动将在本系列博客的第二部分中详细介绍。
鉴于Rockstar相关的钓鱼活动仍在持续,幕后威胁行为者很可能会继续更新这一工具包,或者开发更加先进的钓鱼工具。
IOCs:
初始链接和/或中间链接
-
hxxp[://]cc[.]naver[.]com/cc?a=pst[.]link&m=1&nsc=Mblog[.]post&u=hxxps%3A%2F%2Fwww[.]curiosolucky[.]com/dos/
-
hxxps[://]www[.]curiosolucky[.]com/dos/
-
hxxps[://]magenta-melodious-garnet[.]glitch[.]me/public/rc[.]htm
-
hxxp[://]track[.]senderbulk[.]com/9164124/c?p=pDvu1IoaZGOuiG9hOsGCPPBXFmtx2_vWwJfaiQBzucIA8v9mjc3ztSyOneYxrKLjPngUzpA11TuGi1aI2aLIylOF1nHcpBoP4YzUvVEMYHtwY1nRlztPcQOoC6S6KSWuNNAgIAVnfapCVCgF1cOjSXtedVH_tWc1vLDH7FDQA0VZbtHORodc9jBuNuHh0DMH7zq9Mo6OMyLjnApzvQ3Kvw==
-
hxxps[://]edlyj[.]r[.]ag[.]d[.]sendibm3[.]com/mk/cl/f/sh/OycZvHuFo1eQsnbcJj9r9GQ4/Lf5JdugpPYQV
-
hxxps[://]link[.]trustpilot[.]com/ls/click?upn=u001[.]u9-2FNN-2FjLZCX2YnHXPQ1lM4gqkGMqJbqpuJx-2FSxHxK-2FHK5blCjdqA4sTpFhMxVuvd4F2C_ytJ-2BU3wnk2t0HzMc51nsdI5jCvjlH5KkDNOR5oq1uEJItlkSMD-2F0mdF-2F-2B0td2onmiDV9xpRWw-2FdvTM3A0wCvdsiFkF1kSdgdFrVAE78L337Qo3s56Gk0s6E6DwCfNIKl8bRli5iK2LUC2ldGxjFPYGCigbeEgNBwg1dcBwOOCSSMKGEAZxhwoFvF5-2Fm5JIsTGsZgQlFDpHLis00H4SRzSjnDGYeia8OxbZOi3NmC9Zu0y59gc0DEENkQqz3vpJLxuDhLJpYJpzgnl5FKcj4hKsjfHYOBYWFlwHMrDBS4Cvh4Jej-2FzpBQsqkaAsezwGEEHqB22DcDQgay2Cm-2BbwAcZMOxqHcQjy3nz6aJyACCXDZkVr8P3iPKgjlqDjbsFb-2BJ-2BuUIiNGVhLp1-2F3wvR6hrzO1bA127bZ68-2BmxJz7ux0F5Htfv1SipEoRgLt6VWovRUTbAmRMRtZHvPS49KRBqCjzSnmChbhoVriyoBm5l9IeUaV5raA4vZxPckk3vcYaVa0xmCZLDFC14eTimJvqIk1CqOPtji8DUcs3pyfer4J-2Fk-3D
-
hxxps[://]u1427642[.]ct[.]sendgrid[.]net/ss/c/u001[.]d04lnC885Iiw-JDl08ZraoSXFe9HwA-SkWLpgNZDbZzgIKoIZZYrlHao4m6r2Vm6/4a0/vg0RNJ9pTvCzCNn5rS7A6Q/h0/h001[.]3pGdTVyFoOmaVG2IhlxshDsg0cLE6sckLThbmumHqI0
-
hxxps[://]docsend[.]com/view/q6f7ukbdeviagha2
-
hxxps[://]cloudflare-kol[.]github[.]io/out/red[.]html?url=aHR0cHM6Ly9zaG9ydHVybC5hdC80SlZnbg==
-
hxxps[://]shorturl[.]at/4JVgn
-
hxxps[://]system23cfb9[.]link[.]bmesend[.]com/api/LinkHandler/getaction2?redirectParam2=K09weU5vMDBKWXFUK0ZPdkw4azdKWHk5QlJsZkNXWXlLMUxiMHdXQU1YK3FFZGFsZG9ZQ2ZqNUdHd3ErZEpLeGpyeVE1U1hmU2xoSy9WemJySVEzQytGajZBVWE4em5jaEpuRHhEa05xOTZOcWxQRVdUN1g2S2ViR3YvZjN1K2dJZk9rQTRVajZmMD0%3d
-
hxxps[://]r[.]g[.]bing[.]com/bam/ac?!&&daydream=vasectomy&u=a1aHR0cHM6Ly9jeWJlcm5leGlsbHVtby56YS5jb20vVFZOUHIv==
-
hxxps[://]ctrk[.]klclick3[.]com/l/01J5V2NHDC0KB0P8B51Z9PCPZS_0
-
hxxps[://]googlevoicesecrets[.]com/EHkslw5/auth/?_kx=lKiN48B6FuEu_OYp2PJPXw[.]Sdgjsn
-
hxxps[://]www[.]google[.]com[.]au/url?q=//www[.]google[.]co[.]nz/amp/s/synthchromal[.]ru/Vc51/
-
hxxps[://]semi-zcmp[.]maillist-manage[.]com/click/1122f15d012c0933f/1122f15d012c08f77?utm_source=aynures-newsletter[.]beehiiv[.]com&utm_medium=newsletter&utm_campaign=yes-my-gee&_bhlid=c1191c405e82c32c645acb82f875fdd8fad29209
-
hxxps[://]involucrases[.]sa[.]com/
-
hxxps[://]callcenter838685d0747612ac193e85fcb5ae45287b09e8a0mailvoice[.]s3[.]us-east-2[.]amazonaws[.]com
-
hxxps[://]payment-confirmation-to-your-bank-account-s-dabringhaus-licatec[.]packinqsystems[.]de/
-
hxxps[://]pub-fe581134d7ae4857a97443270a27e0fa[.]r2[.]dev/0nedrive[.]html
-
hxxps[://]docsecureatt-docdrive-filedoc[.]pages[.]dev/
登录页面
-
hxxps[://]bluntchiefei[.]za[.]com/XTCfX/
-
hxxps[://]botolaasprop[.]sa[.]com/N26Vu/
-
hxxps[://]erfolgstipss[.]com[.]de/Gnq8/
-
hxxps[://]digitalgadgetbuzz[.]sa[.]com/WyAn/
-
hxxps[://]bitesizeusaei[.]za[.]com/ol6Bu/
-
hxxps[://]enterbuzztechscener[.]pl/pbtmx/
-
hxxps[://]pfremiumshirts[.]store/D91p/
-
hxxps[://]lifestylesyncteche[.]pro/Ykiy/
-
hxxps[://]bytequestixo[.]pro/wWge/
-
hxxps[://]cybernexillumo[.]za[.]com/TVNPr/
-
hxxps[://]novatechies[.]cbg[.]ru/BUeEj/
-
hxxps[://]synthchromal[.]ru/Vc51/
-
hxxps[://]cyberdynalumeo[.]ru/1RB3Y/
AiTM服务器域名
-
entertainmentcircuitss[.]ru
-
fruechtebox-expresszsnu[.]ru
-
recambioselecue[.]ru
-
googlesecurityforums[.]Moscow
-
entertaingadgetop[.]ru
-
ponnet[.]msk[.]su
-
mieten[.]com[.]ru
-
albumilustrado[.]msk[.]ru
文章来源
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas/
原文始发于微信公众号(solar应急响应团队):【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论