Przejmowanie kont w chmurze z użyciem EvilProxy
W ciągu ostatnich sześciu miesięcy badacze Proofpoint zaobserwowali dramatyczny wzrost o ponad 100%, liczby udanych przejęć kont usług w chmurze. Incydenty dotyczyły osób z kadry kierowniczej najwyższego szczebla, a celem ataku było ponad 100 organizacji na całym świecie. Przejęcie konta następowało przy użyciu EvilProxy, jest to platforma phishingowa oparta na architekturze Reverse Proxy, która umożliwia atakującym przechwytywanie danych uwierzytelniających użytkownika, chronionych przy użyciu MFA oraz plików cookie sesji, podczas logowania do konta w chmurze. EvilProxy jest wysoce skutecznym narzędziem do przeprowadzania ataków, łączy w sobie wyrafinowany phishing typu adversary-in-the-middle z zaawansowanymi metodami przejmowania kont, jest odpowiedzią cyberprzestępców na coraz powszechniejsze stosowanie uwierzytelniania wieloskładnikowego w organizacjach, w dodatku jest łatwy w użyciu i konfiguracji, a jego kod jest publicznie dostępny. Według danych firmy Proofpoint co najmniej 35% wszystkich zaatakowanych użytkowników miało włączoną usługę MFA. Grupy cyberprzestępcze ciągle udoskonalają metody włamywania się na konta, a EvilProxy jest szczególnie skuteczny. Zastosowana zaawansowana automatyzacja, do dokładnego określania w czasie rzeczywistym, czy obserwowane konto użytkownika jest profilem wysokiego poziomu, pozwala cyberprzestępcom na przejmowanie tylko wartościowych kont użytkowników, ignorując mniej dochodowe profile. Ze względu na powszechny charakter zestawów open source przeznaczonych do samodzielnego wdrożenia, cyberprzestępcy wykorzystali okazję rynkową i opracowali usługę MFA Phishing jako usługę (PhaaS). Obecnie jedyne, czego potrzebuje atakujący, to skonfigurowanie kampanii przy użyciu interfejsu „wskaż i kliknij” z konfigurowalnymi opcjami, takimi jak wykrywanie botów, serwerów proxy i geofencing. Ten stosunkowo prosty i tani interfejs otworzył furtkę dla udanych działań phishingowych MFA. Jednym z takich interfejsów i zestawów narzędzi jest właśnie EvilProxy, kompleksowy zestaw do phishingu, który można bardzo łatwo zdobyć, skonfigurować i używać. Monitorowana przez badaczy Proofpoint kampania z wykorzystaniem EvilProxy, nakierowana była na konta tysięcy użytkowników Microsoft 365. Na przełomie od marca do czerwca 2023 wysłanych zostało ponad 120 000 e-mail’i phishingowych na całym świecie. Zastosowano kilka technik, jak podszywanie się pod znane marki DocuSign, Adobe, ochrona przed botami skanującymi bezpieczeństwo, przekierowanie ruchu, złośliwe pliki cookie i przekierowania 404. E-maile zawierały linki do złośliwych adresów URL, które inicjowały wieloetapowy łańcuch infekcji. Jedna z użytych w tym ataku domen bs.serving-sys.com, to domena znana z przekierowywania użytkowników na szereg niepożądanych stron internetowych. Podczas pierwszej fali ataku napastnicy wykorzystują tę domenę do kierowania ruchu do złośliwych witryn internetowych. W kolejnych etapach, aby zapobiec wykryciu przez systemy bezpieczeństwa i nakłonić użytkownika do kliknięcia w linki, napastnicy wykorzystali linki przekierowujące do znanych witryn takich jak np. YouTube, SlickDeals. Dalsza analiza pozostałych stron przekierowujących, pozwoliła wykryć ważny szczegół, który pojawił się w pierwszych dniach ataku i odróżniał tę kampanię od innych ataków. Była to drobna literówka w ciągu przekierowania, zamiast przenieść użytkownika na stronę „https”, napastnicy błędnie wskazali adres „hhttps” (rysunek 1), co doprowadziło to do nieudanego przepływu przekierowania.
Rysunek 1 Błąd w linku. Źródło Proofpoint
W celu ukrycia poczty e-mail użytkownika przed narzędziami automatycznego skanowania, cyberprzestępcy zastosowali specjalne kodowanie wiadomości e-mail i wykorzystali legalne, zhakowane strony internetowe i przesłali swój kod PHP, w celu odszyfrowania adresu e-mail konkretnego użytkownika. Po odszyfrowaniu adresu e-mail użytkownik został przekierowany na końcową stronę internetową – właściwą stronę phishingową, dostosowaną specjalnie dla organizacji docelowej. To kodowanie ma kilka różnych odmian, które zmieniały się z każdą falą ataku, ale podstawowa koncepcja dekodowania była taka sama dla wszystkich.
Rysunek 2 Dekodowanie wiadomości e-mail użytkownika. Źródło Proofpoint
Rysunek 3 Przekierowanie ruchu z tureckich adresów IP do prawdziwej witryny DocuSign.
Rysunek 4 Wiadomość phishingowa podszywająca się pod firmę DocuSign. Źródło Proofpoint
Rysunek 5 Dodanie metody MFA po włamaniu. Źródło Proofpoint
Cyberprzestępcy nieustannie poszukują nowych sposobów kradzieży danych uwierzytelniających użytkowników i uzyskiwania dostępu do cennych kont. Ich metody i techniki są stale dostosowywane do nowych produktów i metod bezpieczeństwa, takich jak uwierzytelnianie wieloskładnikowe. Jak pokazuje powyższy przykład, nawet usługa MFA nie stanowi złotego środka zabezpieczającego przed wyrafinowanymi zagrożeniami i można ją ominąć przy użyciu różnych form cyberataków. EvilProxy stanowi wielkie zagrożenie, jako skuteczna i szybka platforma zyskuje na popularności, a także uwidacznia kluczowe luki w systemach bezpieczeństwa. Cyberprzestępcy dokładnie badają kulturę, hierarchię i procesy atakowanych organizacji, co pozwala im przygotować ataki i poprawić wskaźniki skuteczności. Chcąc zarobić na swoim dostępie, napastnicy dokonywali oszustw finansowych, przeprowadzali eksfiltrację danych lub uczestniczyli w transakcjach Hacking-as-a-Service (HaaS), sprzedając dostęp do zhakowanych kont użytkowników.