W3LL zaobilazi Microsoft 365 MFA

Zlonamjerni akter poznat pod imenom W3LL je razvio razvio je komplet za krađu identiteta (eng. phishing kit) koji može zaobići višefaktorsku autentifikaciju zajedno sa drugim alatima koji su kompromitovali više od 8.000 Microsoft 365 korporativnih naloga. Za deset mjeseci, sigurnosni istraživači su otkrili da su W3LL uslužni programi i infrastruktura korišćeni za postavljanje oko 850 jedinstvenih phishing napada koji su ciljali akreditive za više od 56.000 Microsoft 365 naloga.

W3LL

W3LL zaobilazi Microsoft 365 MFA; Dizajn: Saša Đurić

Razvijanje poslovnog modela

Group-IB, globalni lider u sajber bezbjednosti sa sjedištem u Singapuru, je pratio evoluciju W3LL i otkrio da su oni igrali glavnu ulogu u kompromitovanju Microsoft 365 naloga poslovne elektronske pošte u posljednjih 6 godina. Zlonamjerni akter stvorio je skriveno podzemno tržište, pod nazivom W3LL Store, koje je služilo zatvorenoj zajednici od najmanje 500 zlonamjernih aktera koji su mogli da kupe prilagođeni komplet za krađu identiteta pod nazivom W3LL Panel, dizajniran da zaobiđe MFA, kao i 16 drugih potpuno prilagođenih alata za napad na poslovnu elektronsku poštu (BEC).

Istraživanje pokazuje da W3LL Store nudi rješenja za primjenu BEC napada od početne faze biranja žrtava, phishing mamaca sa naoružanim prilozima (podrazumijevano ili prilagođeno), do pokretanja phishing elektronskih poruka koje dospijevaju u sandučić žrtava. Istraživači kažu da je W3LL dovoljno vješt da zaštiti svoje alate od otkrivanja ili uklanjanja tako što ih postavlja i održava na kompromitovanim Internet serverima i uslugama. Pored toga, kupci takođe imaju opciju da koriste W3LL OKELO skener da pronađu ranjive sisteme i sami dobiju pristup njima.

Sigurnosni istraživači Group-IB su identifikovali da su W3LL alati za krađu identiteta korišćeni za ciljanje preko 56.000 korporativnih Microsoft 365 naloga u SAD, Australiji i Evropi između oktobra 2022. godine i jula 2023. godine Prema grubim procjenama Group-IB, W3LL Store poslovanje u posljednjih 10 mjeseci moglo je dostići 500.000 američkih dolara.

W3LL targets

W3LL identified targets; Source: Group-IB

Ko je W3LL?

W3LL karijera sajber kriminalaca može se pratiti do 2017. godine, kada su ušli na tržište sa W3LL SMTP Sender – prilagođenim alatom za masovnu neželjenu elektronsku poštu. Kasnije je W3LL razvio i počeo da prodaje svoju verziju phishing kompleta za ciljanje korporativnih Microsoft 365 naloga. Rastuća popularnost praktičnog skupa alata podstakla je zlonamjernog aktera da se upusti u otvaranje prikrivenog podzemnog tržišta na engleskom jeziku. W3LL Store je počela sa radom 2018. godine. Vremenom je platforma evoluirala u potpuno kompletan BEC ekosistem koji nudi čitav spektar phishing usluga za sajber kriminalce svih nivoa, od prilagođenih alata za phishing do dodatnih stavki kao što su liste za slanje poruka i pristup kompromitovanim serverima.

W3LL Store pruža “korisničku podršku” putem sistema zahtjeva i Internet dopisivanja uživo, a sajber kriminalci koji nemaju vještine potrebne za korištenje alata mogu da gledaju video uputstva. W3LL Store ima sopstveni bonus program za preporuke (sa 10% provizije na preporuke) i program za preprodavce (sa podjelom od 70/30 na profit koji su prodavci trećih strana ostvarili od prodaje na W3LL Store).

 

Infrastruktura

Glavno W3LL oružje je W3LL Panel koji se može smatrati jednim od najnaprednijih kompleta za krađu identiteta u klasi, koji sadrži funkciju protivnik u sredini, API, zaštitu izvornog kôda i druge jedinstvene mogućnosti. W3LL Panel nema mnoštvo lažnih stranica i dizajniran je posebno da ugrozi Microsoft 365 naloge.

Međutim, zbog svoje visoke efikasnosti, phishing kit je postao povjeren uskom krugu BEC kriminalaca. W3LL nudi tromjesečnu pretplatu na phishing kit za 500 američkih dolara, a naredni mjeseci koštaju 150 američkih dolara svaki. Svaka kopija W3LL Panel mora biti omogućena putem mehanizma za aktiviranje zasnovanog na tokenima, koji sprečava preprodaju kompleta ili krađu njegovog izvornog kôda.

Od avgusta 2023. godine W3LL Panel nudi 16 potpuno prilagođenih alata koji su potpuno kompatibilni jedni sa drugima koji zajedno čine kompletnu postavku za BEC napade. Ovi alati uključuju SMTP pošiljaoce (PunnySender i W3LL Sender), kontrolor zlonamjernih veza (W3LL Redirect), skener ranjivosti (OKELO), automatski instrument za otkrivanje naloga (CONTOOL), alate za izviđanje i još mnogo toga. Alati su dostupni na osnovu licenciranja i koštaju između 50 i 350 američkih dolara mjesečno. Štaviše, W3LL redovno ažurira svoje alate, dodajući nove funkcionalnosti, poboljšavajući mehanizme protiv otkrivanja i kreirajući nove, što naglašava važnost da se bude u toku sa najnovijim promjenama u njihovim taktikama, tehnikama i procedurama (TTP).

 

Preuzimanje Microsoft 365 korporativnih naloga

Istraživanje pokazuje da početna veza u mamcu za krađu identiteta ne vodi do lažne stranice za prijavu na Microsoft 365 na W3LL Panel i da je to samo početak lanca preusmjeravanja namijenjenog sprečavanju otkrivanja stranica za phishing W3LL Panel.

Da bi W3LL ugrozio Microsoft 365 nalog, koristi tehniku protivnik/čovjek u sredini (AitM/MitM), gdje komunikacija između žrtve i Microsoft servera prolazi kroz W3LL Panel i W3LL Store koji djeluje kao pozadinska strana sistema. Cilj je da se dobije kolačić sesije autentifikacije žrtve. Da bi se ovo desilo, W3LL Panel treba da prođe kroz nekoliko koraka, koji uključuju:

  • Prolazak CAPTCHA verifikacije.
  • Podešavanje prijave na lažnu stranicu za prijavu.
  • Potvrda naloga žrtve.
  • Dobijte identitet brenda ciljne organizacije.
  • Preuzimanje kolačiće za proces prijavljivanja.
  • Identifikacija vrste naloga.
  • Potvrda lozinke.
  • Dobijanje jednokratne šifre (OTP).
  • Dobijanje autentifikovan kolačića sesije.

Nakon što W3LL Panel dobije kolačić sesije autentifikacije, nalog je kompromitovan i žrtvi se prikazuje PDF dokument, kako bi zahtev za prijavu izgledao legitimno.

Koristeći CONTOOL, napadač može automatizovati pronalaženje elektronske pošte, brojeva telefona, priloga, dokumenata ili URL adresa koje je žrtva koristila, što bi moglo da pomogne u fazi bočnog kretanja. Alat takođe može da nadgleda, filtrira i mijenja dolazne elektronske poruke, kao i da prima obavještenja na Telegram nalogu na osnovu određenih ključnih riječi. Istraživanje pokazuje da su tipični rezultati takvog napada su:

  • Krađa podataka.
  • Lažna faktura sa podacima o plaćanju koje će završiti kod napadača.
  • Lažno predstavljanje profesionalne usluge za slanje lažnih zahteva za plaćanje klijentima.
  • Klasična BEC prevara – pristup najvišim rukovodiocima i djelovanje u njihovo ime da upućuju. zaposlene da vrše bankovne transfere ili kupuju robu..
  • Distribucija zlonamjernog softvera.
BEC attack kill chain

BEC attack kill chain using W3LL's tools; Source: Group-IB

Zaključak

Zlonamjerni akter koji stoji iza naziva W3LL postoji oko pet godina i sakupio je bazu kupaca od 500 i više sajber kriminalaca koji u prodavnici imaju preko 12.000 alatki za izabrati. Osim phishing-a i alata vezanih za BEC, W3LL takođe pruža pristup ugroženim veb uslugama (veb komandno okruženje, elektronska pošta, sistemi za upravljanje sadržajem- CMS) i SSH i RDP serverima, nalozima za hosting i usluge u oblaku, domenima poslovne elektronske pošte, VPN nalozima i otetim nalozima elektronske pošte.

Phishing kampanja koje koriste W3LL alatke su opisane kao “veoma ubjedljive“ i obično uključuju više dostupnih proizvoda. Ako su kompromitovane, žrtve mogu očekivati da će doživjeti razne naknadne sajber napade, od krađe podataka, lažnih faktura, lažnog predstavljanja vlasnika naloga ili distribucije zlonamjernog softvera, sa svim posljedicama koje ti scenariji nose.

W3LL je “sofisticirana kriminalna organizacija koja posluje kao poslovna organizacija” i zbog toga korisnici trebaju imati na umu da je sajber kriminal industrija vrijedna više milijardi dolara, čija ekonomija diktira aktivnosti većine prijetnji. Kada je proizvod jednostavan i radi dovoljno dobro da obezbijedi visok povrat uloženih sredstava, više kriminalaca će ga koristiti. Pretpostavlja se da je između oktobra 2022. godine i jula 2023. godine W3LL prodao više od 3.800 alata, a procjenjena vrijednost prometa premašuje 500.000 američkih dolara.

 

Zaštita

Zaštita korisnika i poslovnih organizacija od sofisticiranih prijetnji kao što je W3LL zahtjeva višestruki pristup sajber bezbjednosti. Evo osnovnih koraka za zaštitu od W3LL i sličnih prijetnji:

  • Obuka korisnika: Potrebno je vršiti redovne obuke za podizanje svijesti o bezbjednosti za zaposlene kako bi bili blagovremeno edukovani o najnovijim tehnikama krađe identiteta i najboljim bezbjednosnim praksama.
  • Filtriranje elektronske pošte i anti-phishing alati: Trebalo bi implementirati robusna rješenja za filtriranje elektronske pošte i alate za sprečavanje krađe identiteta za identifikaciju i zaustavljanje phishing poruka pre nego što stignu u prijemno sanduče korisnika.
  • Napredna zaštita od prijetnji (ATP): Koristiti Microsoft naprednu zaštitu od prijetnji (eng. Advanced Threat Protection) za Office 365, koja nudi poboljšane bezbjednosne funkcije, uključujući zaštitu u realnom vremenu od naprednih prijetnji.
  • Razoružavanje i rekonstrukcija sadržaja (CDR): CDR (eng. Content Disarm & Reconstruction) uklanja sav aktivni sadržaj iz elektronskih poruka u realnom vremenu, stvarajući jednostavnu čistu datoteku. Sav aktivni sadržaj se podrazumijevano tretira kao sumnjiv i briše. CDR obrađuje sve dolazne elektronske poruke, dekonstruiše ih i uklanja sve stavke koje nisu u skladu sa firewall smjernicama.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.