SessionShark cilja na Office 365

AUTOR ·

Novi phishing alat je primijećen na mračnom internetu, nazvan SessionShark. Ovaj sofisticirani komplet koristi napredne taktike kako bi ubjedljivo imitirao stranice za prijavu na Office 365 prilagođavajući se različitim radnim procesima ili porukama o greškama radi maksimalne uvjerljivosti. Kao rezultat toga, korisnici mogu nesvjesno da odaju svoje podatke za prijavu, pokazuje istraživanje kompanije SlashNext.

SessionShark

SessionShark cilja na Office 365; Source: Bing Image Creator

SESSIONSHARK

SessionShark je sofisticirani komplet alata koji radi po modelu phishing kao usluga (eng. phishing-as-a-service – PhaaS) koji je izazvao značajnu pažnju među zlonamjernim akterima. Ovaj zlonamjerni alat je posebno dizajniran sa jednim ciljem: da zaobiđe zaštitu autentifikacije u više koraka (eng. multi-factor authentication – MFA) za Microsoft Office 365 naloge.

Koristeći napredne tehnike i funkcije, SessionShark omogućava zlonamjernim akterima da presretnu tokene sesije – jedinstvene kolačiće za autentifikaciju koje izdaje Office 365 nakon što je korisnik uspješno završio autentifikaciju u više koraka (MFA). Ovi ukradeni tokeni se zatim mogu koristiti za otmicu naloga sa zabrinjavajućom lakoćom, što ga čini potencijalnom prijetnjom u rukama vještih zlonamjernog aktera.

 

SessionShark funkcionisanje

U današnjem digitalnom okruženju, autentifikacija u više koraka (MFA) postala je ključna bezbjednosna mjera za zaštitu osjetljivih informacija i sprečavanje neovlaštenog pristupa korisničkim nalozima. Međutim, kao i kod svakog bezbjednosnog protokola, uvijek postoje načini da zlonamjerni akteri pronađu ranjivosti i iskoriste ih. Jedna od takvih prijetnji je napadač u sredini (eng. adversary-in-the-middle – AiTM) phishing komplet, što koristi SessionShark za zaobilaženje autentifikacije u više koraka (MFA) zaštite na Office 365 nalozima.

U svojoj suštini, zlonamjerni akter u sredini (AiTM) phishing komplet funkcioniše tako što presreće komunikaciju između korisničkog uređaja i legitimne internet stranice ili usluge. U ovom slučaju, SessionShark se koristi da prevari žrtve da otkriju svoje podatke za prijavu i tokene sesije, čime dobija neovlašteni pristup svom nalogu. Za razliku od tradicionalnih phishing kompleta koji jednostavno kradu korisnička imena i lozinke, SessionShark cilja bezbjedniji protokol – autentifikaciju u više koraka (MFA) presretanjem jedinstvenih kolačića za autentifikaciju koje izdaje Office 365 nakon što korisnik uspješno završi autentifikaciju u više koraka (MFA).

Ovi tokeni služe kao dokaz da je korisnik prošao sve bezbjednosne provjere i da je aktivno autentifikovan. Kada je žrtva namamljenja na ubjedljivu lažnu stranicu za prijavu na Office 365 koju generiše SessionShark, njeni podaci za prijavu i kolačić sesije se bilježe u realnom vremenu. Zlonamjerni akter zatim koristi ukradeni token sesije da bi direktno pristupio nalogu žrtve, zaobilazeći potrebu za jednokratnom lozinkom ili bilo kakvim daljim izazovom autentifikacije u više koraka (MFA).

 

Napredne funkcije

Kreatori su opremili SessionShark phishing komplet alata nizom funkcija protiv detekcije i uz opcije prikrivenosti, što ga čini zastrašujućim oružjem u rukama zlonamjernih aktera. Ove napredne mogućnosti omogućavaju zlonamjernim akterima da izbjegnu otkrivanje od strane bezbjednosnih izolovanih okruženja (eng. sandboxes) i obavještajnih izvora o prijetnjama.

 

Napredna antibot tehnologija

Jedna od najznačajnijih prednosti SessionShark phishing kompleta alata je njegova funkcija: napredna antibot tehnologija. Ova mogućnost koristi tehnike ljudske verifikacije kao što su CAPTCHA (potpuno automatizovani javni Tjuringovi testovi za razlikovanje računara i ljudi) kako bi blokirala automatizovane bezbjednosne skenere da otkriju phishing lokaciju. Uključivanjem ovih antibot mjera, zlonamjerni akteri mogu spriječiti da njihove zlonamjerne internet stranice označi bezbjednosni softver ili da ih otkriju izolovana okruženja.

U suštini, napredna antibot tehnologija omogućava korisnicima SessionShark phishing kompleta alata da kreiraju ubjedljive lažne stranice za prijavu koje su otporne na otkrivanje od strane automatizovanih sistema. Ovo organizacijama sve više otežava identifikaciju i blokiranje phishing pokušaja koristeći tradicionalne metode. Kao rezultat toga, zlonmajerni akteri mogu sa sigurnošću da koriste ove alate bez brige da će biti uhvaćeni u ranim fazama svojih napada.

 

Maskiranje phishing infrastrukture

Još jedna značajna karakteristika SessionShark phishing kompleta alata je njegova kompatibilnost sa Cloudflare platformom. Korišćenjem ove posredničke usluge zasnovane na oblaku, zlonamjerni akteri mogu da maskiraju pravu lokaciju svoje phishing infrastrukture i izbjegnu blokiranje ili uklanjanje na osnovu IP adrese. To znači da čak i ako je organizacija implementirala mjere za blokiranje saobraćaja sa određenih IP adresa, korišćenje Cloudflare platformome od strane SessionShark phishing kompleta alata im otežava da precizno identifikuju i uklone stvarni izvor napada.

Kompatibilnost sa Cloudflare platformom takođe omogućava zlonamjernim akterima da održe nivo anonimnosti dok sprovode svoje phishing kampanje. Skrivajući se iza ove posredničke usluge, mogu da izbjegnu povezivanje sa bilo kojom određenom lokacijom ili infrastrukturom, što organizacijama otežava efikasno praćenje i reagovanje na ove napade.

 

Poboljšane mogućnosti prikrivenosti

Poboljšane mogućnosti prikrivenosti SessionShark phishing kompleta alata podižu ga na novi nivo sofisticiranosti. Korišćenjem prilagođenih skripti i HTTP zaglavlja, zlonamjerni akteri mogu da izbjegnu otkrivanje putem glavnih obavještajnih podataka o prijetnjama i sistema protiv phishing. To znači da čak i ako je organizacija implementirala napredne bezbjednosne mjere, korisnici SessionShark phishing kompleta alata i dalje mogu uspješno da zaobiđu ove odbrambene mehanizme.

Phishing sadržaj koji generiše SessionShark može dinamički da mijenja ili blokira poznate bezbjednosne pretraživače kako bi dodatno poboljšao svoje mogućnosti prikrivenosti. Kao rezultat toga, zlonamjerni akteri imaju veću fleksibilnost u svojim napadima i manje je vjerovatno da će biti rano otkriveni.

 

Imitiranje Microsoft okruženja za prijavu

Jedna od najubjedljivih karakteristika SessionShark phishing kompleta alata je njegova sposobnost da generiše visokoprecizne Office 365 stranice koje imitiraju Microsoft okruženje za prijavu sa izuzetnom tačnošću. Ovi phishing internet stranice se prilagođavaju različitim tokovima rada i porukama o greškama, čineći ih sve vjerodostojnijim za žrtve.

Kreiranjem lažnih okruženja za prijavu koja veoma podsjećaju na one koje koriste legitimne usluge poput Office 365, zlonamjerni akteri mogu povećati šanse za uspješnu krađu podataka za prijavu. Ovo je posebno zabrinjavajuće u današnjem digitalnom okruženju gdje zaposleni često pristupaju višestrukim aplikacijama zasnovanim na oblaku sa jednog okruženja.

 

Preuzimanje podataka i korisnička podrška

Iako programeri SessionShark phishing kompleta alata naglašavaju da je namijenjen za “etičko hakovanje” i “obrazovne svrhe”, svi znaci ukazuju na alat napravljen za kriminalnu zloupotrebu. Činjenica da se može koristiti za krađu podataka u realnom vremenu, omogućavajući zlonamjernim akterima da preuzmu kontrolu nad kompromitovanim nalozima u roku od nekoliko sekundi, sugeriše da njegova primarna svrha nije obrazovna ili etička.

SessionShark phishing kompleta alata sadrži sveobuhvatni panel za evidentiranje i integriše se sa Telegram botovima, omogućavajući zlonamjernim akterima da primaju trenutna upozorenja koja sadrže ukradenu elektronsku poštu, lozinke i kolačiće sesije. Ova krađa podataka u realnom vremenu omogućava zlonamjernim akterima da preuzmu kontrolu nad kompromitovanim nalozima u roku od nekoliko sekundi – često pre nego što branioci mogu da reaguju. Brzina kojom se ove informacije kradu otežava timovima za bezbjednost da otkriju i ublaže štetu.

Oponašajući legitimne modele poslovanja SessionShark se nudi po modelu softver kao usluga (eng. software-as-a-service – SaaS) sa opcijama pretplate, pa se čak nudi i podršku putem Telegram kanala. Ovaj pristup “korisničkoj službi” smanjuje tehničku barijeru za potencijalne zlonamjerne aktere, čineći sofisticirane phishing kampanje dostupnim širem krugu sajber kriminalaca.

 

UTICAJ

Uticaj SessionShark phishing kompleta alata na sajber bezbjednost ne može se zanemariti. Ovaj sofisticirani komplet alata koji radi po modelu phishing kao usluga (PhaaS) je dizajniran da zaobiđe zaštitu autentifikacije u više koraka (MFA) Microsoft Office 365 usluge, ostavljajući korisnike ranjivim na sajber prijetnje. Činjenica da se promoviše putem sajber kriminalnih tržišta i da može da isporučuje rezultate uživo na Telegram kanale čini ga posebno zabrinjavajućim.

SessionShark integracija sa Telegram platformom znači da zlonamjerni akteri mogu da dobijaju obavještenja u realnom vremenu na svom telefonu čim neko nasjedne na phishing prevaru. Ovo uključuje osjetljive informacije kao što su elektronska pošta, lozinka i detalji kolačića sesije. Praktičnost ove metode eksfiltracije je alarmantna, posebno imajući u vidu koliko brzo omogućava zlonamjernim akterima da preuzmu nalog žrtve pre nego što tradicionalni timovi za reagovanje na incidente mogu da reaguju.

Čak i organizacije sa robusnim politikama autentifikacije u više koraka (MFA) mogu biti ranjive ako zlonamjerni akteri mogu da ukradu tokene sesije koristeći SessionShark ili slične komplete koji rade po phishing kao usluga (PhaaS). Tradicionalne odbrane koje se oslanjaju na sprečavanje krađe akreditiva ili blokiranje zasnovano na IP adresi su sve neefikasnije protiv ovih naprednih prijetnji, što je veoma zabrinjavajuće.

Uspon SessionShark phishing kompleta alata signalizira zabrinjavajući trend u svetu sajber bezbjednosti: čak i sa robusnim politikama autentifikacije u više koraka (MFA), organizacije i dalje mogu biti ranjive ako zlonamjerni akteri mogu da ukradu tokene sesije. Ovo je posebno zabrinjavajuće s obzirom na to koliko brzo ove prijetnje mogu eskalirati u potpuna ugrožavanja bezbjednosti. Činjenica da se SessionShark i slični kompleti koji rade po modelu phishing kao usluga (PhaaS) komercijalizuju putem sajber kriminalnih tržišta znači samo da će vremenom postajati samo sofisticiraniji.

 

ZAKLJUČAK

SessionShark predstavlja značajnu eskalaciju u borbi između zlonamjernih aktera i sigurnonosnih timova. Sposobnost kompleta alata da zaobiđe zaštite autentifikacije u više koraka (MFA) za Microsoft Office 365 ističe kontinuiranu borbu zlonamjernih aktera da ostanu ispred naprednih mjera zaštite.

Fenomen SessionShark phishing kompleta alata naglašava potrebu za nijansiranijim pristupom sajber bezbjednosti. Tradicionalne odbrane koje se oslanjaju na sprečavanje krađe podataka za prijavu ili blokiranje zasnovano na IP adresi sve su neefikasnije protiv naprednih prijetnji poput phishing kompleta. Kako zlonamjerni akteri nastavljaju da inoviraju i komercijalizuju svoje alate, branioci se moraju prilagoditi usvajanjem rješenja za detekciju u realnom vremenu, vođenih vještačkom inteligencijom, koja mogu da identifikuju i blokiraju napade napadača u sredini (AiTM).

Analiza ove prijetnje pokazuje kako zlonamjerni akteri pakuju i prodaju svoje alate imajući u vidu korisničko iskustvo i skalabilnost. Ovaj pomak ka modelu phishing kao usluga (PhaaS) ukazuje na širi trend u ekosistemu sajber kriminala: onaj gdje zlonamjerni akteri daju prioritet tokovima prihoda u odnosu na pojedinačna iskorištavanja. Ispitivanjem ovog fenomena, moguće je bolje razumjeti evoluirajuću prirodu prijetnji po sajber bezbjednost.

 

ZAŠTITA

Evo preporuka o tome kako se zaštititi od SessionShark phishing kompleta koji zaobilazi bezbjednost autentifikacije u više koraka (MFA) za Microsoft Office 365:

  1. Kako bi se suprotstavili naprednim prijetnjama koje predstavlja SessionShark, organizacije moraju da usvoje rješenja za otkrivanje phishing napada u realnom vremenu, vođena vještačkom inteligencijom. Ovi vrhunski alati koriste široku telemetriju prijetnji i sofisticirane algoritme za identifikaciju i blokiranje napada napadača u sredini (AiTM) i sumnjive infrastrukture pre nego što korisnici budu izloženi;
  2. Kako SessionShark predstavlja primjer evolucije sajber kriminala, branioci moraju ostati proaktivni i oprezni u prihvatanju alata za otkrivanje sljedeće generacije koji mogu da se suprotstave rastućoj prijetnji phishing kao usluga (PhaaS). Ovo zahteva kontinuirano praćenje i analizu kako bi se identifikovale nove prijetnje i shodno tome prilagodila odbrana;
  3. Bezbjednosna rješenja zasnovana na oblaku mogu pomoći u zaštiti od SessionShark Ove usluge zasnovane na oblaku pružaju obavještajne podatke o prijetnjama u realnom vremenu, izolovana okruženja i detekciju zasnovanu na mašinskom učenju kako bi identifikovale i blokirale zlonamjernu elektronsku poštu prije nego što stignu do korisnika;
  4. Da bi spriječile uspješne phishing kampanje od strane SessionShark phishing kompleta, organizacije moraju edukovati svoje korisnike o rizicima povezanim sa ovim vrstama napada. Ovo uključuje obuku zaposlenih da prepoznaju sumnjivu elektronsku poštu, provjere identitet pošiljaoca i blagovremeno prijave sve potencijalne prijetnje IT timovima;
  5. Redovne bezbjednosne revizije pomažu u identifikaciji ranjivosti u odbrani organizacije od SessionShark Sprovođenjem temeljnih procjena rizika, organizacije mogu da ukažu na oblasti za poboljšanje i da implementiraju ciljane kontramere kako bi ojačale svoj ukupni bezbjednosni položaj;
  6. Iako je autentifikacija u više koraka (MFA) ključni odbrambeni mehanizam protiv phishing napada poput onih koje predstavlja SessionShark, njena efikasnost zavisi od pravilne implementacije. Organizacije moraju osigurati da su svi korisnici obavezni da koriste autentifikaciju u više koraka (MFA) za pristup osjetljivim resursima i sistemima i da se u slučaju napada poštuju ispravni protokoli;
  7. Izvori obavještajnih podataka o prijetnjama pružaju ključne uvide u nove prijetnje poput SessionShark Pretplatom na ugledne usluge obavještajne analize prijetnji, organizacije mogu ostati informirane o potencijalnim rizicima i prilagoditi svoju odbranu u skladu s tim;
  8. Posjedovanje i unapređivanje plan odgovora na sajber prijetnju je neophodno za brzo i efikasno reagovanje na phishing napade poput onih koje je pokrenuo SessionShark phishing Organizacije bi trebalo da razviju sveobuhvatne planove odgovora na sajber prijetnju koji pokrivaju teme kao što su obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta;
  9. Implementirati bezbjednosne mrežne prolaze u oblaku (eng. cloud security gateways – CSG), jer su neophodni za zaštitu od sofisticiranih napada koje pokreće SessionShark ili slični alati. Ova rješenja pružaju jedinstvenu platformu za upravljanje višestrukim bezbjednosnim kontrolama, kao što su zaštitni zidovi, sistemi za detekciju upada i antivirusni softver;
  10. Implementacija mrežne arhitekture sa nultim povjerenjem (eng. zero-trust network) je ključna za sprečavanje bočnog kretanja zlonamjernih aktera koji su možda ugrozili korisnički uređaj putem phishing napada poput onih koje je pokrenuo SessionShark. Ovo podrazumijeva segmentiranje mreže u izolovane zone i sprovođenje strogih kontrola pristupa kako bi se spriječilo neovlašteno curenje podataka.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.