【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧

admin 2024年12月4日16:47:14评论16 views字数 9651阅读32分10秒阅读模式

点击蓝字 关注我们

Trustwave SpiderLabs 一直在积极监控 钓鱼即服务(Phishing-as-a-Service,PaaS)平台的兴起,这些平台在威胁行为者中越来越受到欢迎。

在我们之前的博客中,我们探讨了这些平台的吸引力,并讨论了当前的几种主要钓鱼工具包。在这篇两部分的博客中,我们将重点介绍名为 Rockstar 2FA 的钓鱼工具包,它与广泛的 中间人攻击(AiTM)钓鱼攻击有关。本文还将通过邮件攻击案例,详细讲解 Rockstar 2FA 的攻击流程。第二部分可以在此处阅读。

钓鱼攻击概述

我们一直在跟踪一个广泛的钓鱼攻击活动,该活动通过电子邮件传播,并在2024年8月显著增加,至今仍然盛行。该活动采用了中间人攻击(AiTM),使攻击者能够截取用户的凭证和会话cookie,这意味着即使启用了多因素认证(MFA)的用户也可能仍然容易受到攻击。微软用户账户是该活动的主要目标,受害者将被重定向到设计模仿微软365(O365)登录页面的钓鱼网站。

该钓鱼活动的一个显著特点是结合了以汽车为主题的网页。通过urlscan.io,我们发现自2024年5月以来,有超过5000个与此活动相关的汽车主题域名访问记录。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图1. 通过urlscan.io显示的汽车主题网页的月访问量,超过5000次点击,显示出从2024年5月到8月的增长趋势。

Rockstar 2FA PaaS

我们将此次钓鱼活动与名为“Rockstar 2FA”的钓鱼工具包关联起来,它是DadSec/Phoenix钓鱼工具包的更新版。

微软将幕后攻击者标记为Storm-1575,其中“Storm-####”是用于标识新兴或未识别威胁集群的临时标签。微软还报告称,DadSec PaaS在2023年发起了部分钓鱼活动,成为当年钓鱼攻击量最高的工具之一。

DadSec Phoenix Rockstar
2023年5月 2023年末 2023年末

这个改进版的钓鱼工具包仍然采用PaaS模式,其营销和传播主要通过ICQ、Telegram和Mail.ru等平台进行。通过这些平台,该工具包变得更加容易获取,其他网络犯罪分子也能轻松使用,快速搭建钓鱼攻击。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图2:Rockstar工具包的官方Telegram频道在2024年8月的订阅者超过1,500人。

Telegram上的营销帖子展示了Rockstar 2FA的各种功能,包括绕过双重身份认证(2FA)、收集2FA验证码、反机器人保护、多种登录页面主题、随机化源代码和附件、完全不可检测(FUD)链接、Telegram机器人集成,以及用户友好的管理面板等。Rockstar 2FA的订阅服务起价为200美元,提供为期两周的服务,而API续订服务为180美元两周。此外,它还提供按月和一次性支付的订阅选项。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图3. Rockstar 2FA的Telegram频道帖子,展示了Rockstar工具包的功能。

图4展示了Rockstar管理面板,其中包含钓鱼活动的总结信息,包括被拦截的机器人数量、总访问量以及有效和无效账户的数据。该面板还内置了多种工具,如URL和附件生成器,并提供主题自定义选项,供电子邮件营销活动使用,如图5所示。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图4. Rockstar 2FA门户的主控制面板。此截图来源于Rockstar 2FA在Telegram频道发布的视频教程。
【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图5. Rockstar 2FA门户的“首选项”标签页。

电子邮件营销活动

我们观察到的这些营销活动使用了多种电子邮件投递方式,包括被攻击者控制的账户和滥用的合法服务(如电子邮件营销平台)。由于这些钓鱼邮件来自受信任或合法的来源,因此更容易避开传统过滤器的检测,效果也更为显著。根据我们的数据,这些攻击影响了多个行业和地区的用户,而不仅仅是针对某一特定群体。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图6. Rockstar 2FA钓鱼攻击活动的电子邮件攻击流程。

该钓鱼工具的威胁行为者使用了不同的模板和主题来成功实施社会工程攻击。以下是我们观察到的常见钓鱼信息主题:

  • 文档和文件共享通知
  • 电子签名平台相关信息
  • 人力资源和工资单相关信息
  • 多因素认证(MFA)诱饵
  • IT部门通知
  • 密码/账户相关警告
  • 语音邮件通知
【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图7. 与Rockstar 2FA PaaS相关的钓鱼邮件示例。

在我们分析的这些邮件中,它们使用了多种技术来绕过反垃圾邮件检测,例如混淆方法和FUD链接的使用,包括滥用合法的链接服务、HTML和PDF等文档附件,甚至二维码。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图 8. 从 urlscan.io 观察到的被滥用的合法平台在钓鱼链接中的示例。

登录页面

该PaaS的钓鱼活动将用户引导至钓鱼页面或车主题网站,具体取决于AiTM服务器的响应。在到达这两个页面之前,登陆页面的访客将会经过预筛选。

Antibot

用户在被重定向到登录页面后,会看到一个Cloudflare Turnstile验证挑战。Cloudflare Turnstile是一项免费的服务,旨在防止机器人等不受欢迎的访问者进入网站。该服务于2023年9月公开发布。攻击者开始使用该服务来阻止其钓鱼页面被自动化分析工具检测。

自2024年5月以来,urlscan.io上与此活动相关的URL访问量超过了3,700次,URL格式为‘https?://{URLDOMAIN}/{RANDOM_4-5_LETTERS}/’。数据显示,从2024年6月到8月,访问量显著增加,随后几个月继续保持增长趋势。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图9. 该图显示了通过urlscan.io观察到的,钓鱼活动中使用Cloudflare Turnstile页面的每月访问量

AiTM 钓鱼页面

通过Cloudflare Turnstile挑战后,钓鱼页面将被加载。这一过程发生在着陆页面中的嵌入式JavaScript被调用时。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图10. 通过Cloudflare Turnstile挑战后,钓鱼页面将被加载。

该JavaScript包含两个函数:

  1. 第一个函数包含一个AES-CBC解密过程,该过程接受JSON格式的数据。该JSON数据必须包含以下键值:
描述
a AES-CBC编码的数据
b 用于派生PBKDF2密钥的盐值
c 用于AES解密的初始化向量(IV)
d 用于派生PBKDF2密钥的密码短语
  1. 第二个函数调用了第一个函数。它解密了AiTM服务器的域名,该域名被硬编码在函数中,然后通过AJAX POST请求从服务器获取钓鱼页面。服务器的响应是加密的JSON格式数据。解密后的数据是钓鱼页面的HTML代码,或者是一个伪装成汽车主题网站的页面。根据我们的测试,我们怀疑在AiTM服务器端还有进一步的用户验证过程,例如IP检查。因此,某些用户或特定地区的用户可能会看到汽车主题网页,而不是伪造的登录页面。
【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图11. AiTM 服务器将返回钓鱼页面或诱饵页面的 HTML 代码。

钓鱼页面的设计高度仿照所模仿品牌的登录页面,尽管其 HTML 代码经过了多层混淆处理。页面中还应用了基于语法的混淆手段,甚至在“登录”字符串中插入了字体大小接近零的隐藏文字。

用户在钓鱼页面上输入的所有数据都会立即发送到 AiTM 服务器。然后,泄露的凭据将被用来获取目标账户的会话 cookie。根据我们分析的钓鱼页面,与该工具包相关的名称和 MFA 方法可能是字母 'a' 到 'e' 中的任意一个。在 POST 请求中,该名称会被包含在 JSON 数据的 'service' 键中。

【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
图12. 钓鱼页面处理 MFA 方法的代码片段。

与技术

访问 AiTM 服务器的域名时,也会显示诱饵页面。以下是我们在调查过程中发现的一些托管诱饵内容的重点域名:

URL名称 主题 截图
Google 安全 Googlesecurityforums[.]moscow 【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
呼叫中心语音邮件 callcenter838685d0747612ac193e85fcb5ae45287b09e8a0mailvoice.s3.us-east-2.amazonaws[.]com 【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
支付确认 payment-confirmation-to-your-bank-account-s-dabringhaus-licatec.packinqsystems[.]de 【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
Microsoft OneDrive pub-fe581134d7ae4857a97443270a27e0fa.r2[.]dev/0nedrive.html 【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧
文件共享 docsecureatt-docdrive-filedoc.pages[.]dev/ 【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧

图13. 与Rockstar 2FA相关的显著域名及其对应的诱饵登录页面。

结论

商品化钓鱼攻击(如与Rockstar 2FA PaaS平台相关的攻击)由于其低成本和易于部署,仍然十分猖獗。通过集成AiTM技术,攻击者能够绕过多因素认证(MFA)等额外的安全防护层。同时,这类攻击还可能引发二次风险,例如账户接管、利用被攻陷的账户发起钓鱼活动,或实施商务邮箱劫持(BEC)攻击。

Rockstar平台推动了大规模的钓鱼活动,其战术、技术与程序(TTPs)异常复杂,包括使用FUD链接、二维码以及Cloudflare Turnstile挑战等手段。有关使用该钓鱼工具包的典型钓鱼攻击活动将在本系列博客的第二部分中详细介绍。

鉴于Rockstar相关的钓鱼活动仍在持续,幕后威胁行为者很可能会继续更新这一工具包,或者开发更加先进的钓鱼工具。

IOCs:

初始链接和/或中间链接

  • hxxp[://]cc[.]naver[.]com/cc?a=pst[.]link&m=1&nsc=Mblog[.]post&u=hxxps%3A%2F%2Fwww[.]curiosolucky[.]com/dos/
  • hxxps[://]www[.]curiosolucky[.]com/dos/
  • hxxps[://]magenta-melodious-garnet[.]glitch[.]me/public/rc[.]htm
  • hxxp[://]track[.]senderbulk[.]com/9164124/c?p=pDvu1IoaZGOuiG9hOsGCPPBXFmtx2_vWwJfaiQBzucIA8v9mjc3ztSyOneYxrKLjPngUzpA11TuGi1aI2aLIylOF1nHcpBoP4YzUvVEMYHtwY1nRlztPcQOoC6S6KSWuNNAgIAVnfapCVCgF1cOjSXtedVH_tWc1vLDH7FDQA0VZbtHORodc9jBuNuHh0DMH7zq9Mo6OMyLjnApzvQ3Kvw==
  • hxxps[://]edlyj[.]r[.]ag[.]d[.]sendibm3[.]com/mk/cl/f/sh/OycZvHuFo1eQsnbcJj9r9GQ4/Lf5JdugpPYQV
  • hxxps[://]link[.]trustpilot[.]com/ls/click?upn=u001[.]u9-2FNN-2FjLZCX2YnHXPQ1lM4gqkGMqJbqpuJx-2FSxHxK-2FHK5blCjdqA4sTpFhMxVuvd4F2C_ytJ-2BU3wnk2t0HzMc51nsdI5jCvjlH5KkDNOR5oq1uEJItlkSMD-2F0mdF-2F-2B0td2onmiDV9xpRWw-2FdvTM3A0wCvdsiFkF1kSdgdFrVAE78L337Qo3s56Gk0s6E6DwCfNIKl8bRli5iK2LUC2ldGxjFPYGCigbeEgNBwg1dcBwOOCSSMKGEAZxhwoFvF5-2Fm5JIsTGsZgQlFDpHLis00H4SRzSjnDGYeia8OxbZOi3NmC9Zu0y59gc0DEENkQqz3vpJLxuDhLJpYJpzgnl5FKcj4hKsjfHYOBYWFlwHMrDBS4Cvh4Jej-2FzpBQsqkaAsezwGEEHqB22DcDQgay2Cm-2BbwAcZMOxqHcQjy3nz6aJyACCXDZkVr8P3iPKgjlqDjbsFb-2BJ-2BuUIiNGVhLp1-2F3wvR6hrzO1bA127bZ68-2BmxJz7ux0F5Htfv1SipEoRgLt6VWovRUTbAmRMRtZHvPS49KRBqCjzSnmChbhoVriyoBm5l9IeUaV5raA4vZxPckk3vcYaVa0xmCZLDFC14eTimJvqIk1CqOPtji8DUcs3pyfer4J-2Fk-3D
  • hxxps[://]u1427642[.]ct[.]sendgrid[.]net/ss/c/u001[.]d04lnC885Iiw-JDl08ZraoSXFe9HwA-SkWLpgNZDbZzgIKoIZZYrlHao4m6r2Vm6/4a0/vg0RNJ9pTvCzCNn5rS7A6Q/h0/h001[.]3pGdTVyFoOmaVG2IhlxshDsg0cLE6sckLThbmumHqI0
  • hxxps[://]docsend[.]com/view/q6f7ukbdeviagha2
  • hxxps[://]cloudflare-kol[.]github[.]io/out/red[.]html?url=aHR0cHM6Ly9zaG9ydHVybC5hdC80SlZnbg==
  • hxxps[://]shorturl[.]at/4JVgn
  • hxxps[://]system23cfb9[.]link[.]bmesend[.]com/api/LinkHandler/getaction2?redirectParam2=K09weU5vMDBKWXFUK0ZPdkw4azdKWHk5QlJsZkNXWXlLMUxiMHdXQU1YK3FFZGFsZG9ZQ2ZqNUdHd3ErZEpLeGpyeVE1U1hmU2xoSy9WemJySVEzQytGajZBVWE4em5jaEpuRHhEa05xOTZOcWxQRVdUN1g2S2ViR3YvZjN1K2dJZk9rQTRVajZmMD0%3d
  • hxxps[://]r[.]g[.]bing[.]com/bam/ac?!&&daydream=vasectomy&u=a1aHR0cHM6Ly9jeWJlcm5leGlsbHVtby56YS5jb20vVFZOUHIv==
  • hxxps[://]ctrk[.]klclick3[.]com/l/01J5V2NHDC0KB0P8B51Z9PCPZS_0
  • hxxps[://]googlevoicesecrets[.]com/EHkslw5/auth/?_kx=lKiN48B6FuEu_OYp2PJPXw[.]Sdgjsn
  • hxxps[://]www[.]google[.]com[.]au/url?q=//www[.]google[.]co[.]nz/amp/s/synthchromal[.]ru/Vc51/
  • hxxps[://]semi-zcmp[.]maillist-manage[.]com/click/1122f15d012c0933f/1122f15d012c08f77?utm_source=aynures-newsletter[.]beehiiv[.]com&utm_medium=newsletter&utm_campaign=yes-my-gee&_bhlid=c1191c405e82c32c645acb82f875fdd8fad29209
  • hxxps[://]involucrases[.]sa[.]com/
  • hxxps[://]callcenter838685d0747612ac193e85fcb5ae45287b09e8a0mailvoice[.]s3[.]us-east-2[.]amazonaws[.]com
  • hxxps[://]payment-confirmation-to-your-bank-account-s-dabringhaus-licatec[.]packinqsystems[.]de/
  • hxxps[://]pub-fe581134d7ae4857a97443270a27e0fa[.]r2[.]dev/0nedrive[.]html
  • hxxps[://]docsecureatt-docdrive-filedoc[.]pages[.]dev/

登录页面

  • hxxps[://]bluntchiefei[.]za[.]com/XTCfX/
  • hxxps[://]botolaasprop[.]sa[.]com/N26Vu/
  • hxxps[://]erfolgstipss[.]com[.]de/Gnq8/
  • hxxps[://]digitalgadgetbuzz[.]sa[.]com/WyAn/
  • hxxps[://]bitesizeusaei[.]za[.]com/ol6Bu/
  • hxxps[://]enterbuzztechscener[.]pl/pbtmx/
  • hxxps[://]pfremiumshirts[.]store/D91p/
  • hxxps[://]lifestylesyncteche[.]pro/Ykiy/
  • hxxps[://]bytequestixo[.]pro/wWge/
  • hxxps[://]cybernexillumo[.]za[.]com/TVNPr/
  • hxxps[://]novatechies[.]cbg[.]ru/BUeEj/
  • hxxps[://]synthchromal[.]ru/Vc51/
  • hxxps[://]cyberdynalumeo[.]ru/1RB3Y/

AiTM服务器域名

  • entertainmentcircuitss[.]ru
  • fruechtebox-expresszsnu[.]ru
  • recambioselecue[.]ru
  • googlesecurityforums[.]Moscow
  • entertaingadgetop[.]ru
  • ponnet[.]msk[.]su
  • mieten[.]com[.]ru
  • albumilustrado[.]msk[.]ru

文章来源

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rockstar-2fa-a-driving-force-in-phishing-as-a-service-paas/

以下是solar安全团队近期处理过的常见勒索病毒后缀:
出现时间 病毒名称 相关文章
2020/01 .mkp
【病毒分析】揭秘.mkp后缀勒索病毒!Makop家族变种如何进行可视化加密?
2024/05 .moneyistime
【病毒分析】使用中文勒索信及沟通:MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/09/29 .lol
【病毒分析】全网首发!全面剖析.LOL勒索病毒,无需缴纳赎金,破解方案敬请期待下篇!
【工具分享】.LOL勒索病毒再也不怕!完整破解教程分享+免费恢复工具首发
2024/06/21 .MBRlock
【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
2024/06/01 .steloj
【病毒分析】Steloj勒索病毒分析
2024/05/27 .TargetOwner
【病毒分析】技术全面升级,勒索赎金翻倍,新版本TargetOwner勒索家族强势来袭?
2024/05/17 .Lockbit 3.0
【病毒分析】Lockbit家族Lockbit 3.0加密器分析【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵                             【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告                               【病毒分析】繁体勒索信暗藏玄机!要价50万RMB赎金的Lockbit泄露版分析
2024/05/13 .wormhole
【病毒分析】Wormhole勒索病毒分析
2024/04/09 .bianlian
【病毒分析】新兴TOP2勒索软件!存在中国受害者的BianLian勒索软件解密原理剖析
2024/03/20 .locked
【病毒分析】locked勒索病毒分析
2024/03/11 .Live1.5
【病毒分析】独家揭秘LIVE勒索病毒家族之1.5(全版本可解密)
2024/03/08 .Live2.0
【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)
2024/03/06 .Elbie
【病毒分析】phobos家族Elbie变种加密器分析报告
2024/03/01 .lvt
【病毒分析】交了赎金也无法恢复--针对国内某知名NAS的LVT勒索病毒最新分析
2024/02/26 .2700
【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2024/01/18 ._locked
中国人不骗中国人?_locked勒索病毒分析
2024/01/15 .faust
【病毒分析】phobos家族faust变种加密器分析
2024/01/15 .DevicData
【病毒分析】DevicData勒索病毒分析
2024/01/02 .jopanaxye
【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2023/12/01 .live1.0
【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)
2023/09/05 .CryptoBytes
【独家破解】揭秘境外黑客组织的20美元锁机病毒:深度逆向分析+破解攻略!赎金?给你付个🥚
2023/08/28 .mallox
【病毒分析】mallox家族malloxx变种加密器分析报告
2023/08/02 .rmallox
【病毒分析】mallox家族rmallox变种加密器分析报告
【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
2023/01/10 .DevicData-Pa2a9e9c
【病毒分析】DevicData家族扩散:全球企业和机构成为勒索病毒头号攻击目标!
2023年初 .halo
【病毒分析】全网首发!以国内某安全厂商名字为后缀的勒索病毒分析
2021/05/01 .mallox
【病毒分析】Mallox家族再进化:首次瞄准Linux,勒索新版本全面揭秘!
2021年1月初 .babyk
【病毒分析】BabyK加密器分析-Windows篇 
【病毒分析】Babyk加密器分析-NAS篇 
【病毒分析】 Babyk加密器分析-EXSI篇 
【病毒分析】Babuk家族babyk勒索病毒分析 
【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2020/05/18 .consultraskey-F-XXXX
【成功案例】解决浙江xx电子有限公司的勒索病毒
2019/05/01 .src
【病毒分析】Phobos家族新变种 .SRC深度分析:揭示持续演变的勒索新威胁
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。

原文始发于微信公众号(solar应急响应团队):【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月4日16:47:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【文章转载】Rockstar 2FA:PaaS)平台如何绕过多因素认证,威胁加剧https://cn-sec.com/archives/3467265.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息