{"id":5425,"date":"2023-09-17T20:07:16","date_gmt":"2023-09-17T18:07:16","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5425"},"modified":"2023-09-17T20:07:16","modified_gmt":"2023-09-17T18:07:16","slug":"w3ll-zaobilazi-microsoft-365-mfa","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/09\/17\/w3ll-zaobilazi-microsoft-365-mfa\/","title":{"rendered":"W3LL zaobilazi Microsoft 365 MFA"},"content":{"rendered":"

Zlonamjerni akter<\/a> poznat pod imenom W3LL<\/em> je razvio razvio je komplet za kra\u0111u identiteta<\/a> (eng. phishing kit<\/em>) koji mo\u017ee zaobi\u0107i vi\u0161efaktorsku autentifikaciju zajedno sa drugim alatima koji su kompromitovali vi\u0161e od 8.000 Microsoft 365<\/em> korporativnih naloga. Za deset mjeseci, sigurnosni istra\u017eiva\u010di su otkrili da su W3LL<\/em> uslu\u017eni programi i infrastruktura kori\u0161\u0107eni za postavljanje oko 850 jedinstvenih phishing<\/em> napada<\/a> koji su ciljali akreditive za vi\u0161e od 56.000 Microsoft 365<\/em> naloga.<\/span><\/p>\n

\"W3LL\"

W3LL zaobilazi Microsoft 365 MFA; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Razvijanje poslovnog modela<\/strong><\/span><\/h2>\n

Group-IB<\/em>, globalni lider u sajber bezbjednosti sa sjedi\u0161tem u Singapuru, je pratio evoluciju W3LL<\/em> i otkrio<\/a> da su oni igrali glavnu ulogu u kompromitovanju Microsoft 365<\/em> naloga poslovne elektronske po\u0161te u posljednjih 6 godina. Zlonamjerni akter stvorio je skriveno podzemno tr\u017ei\u0161te, pod nazivom W3LL<\/em> Store<\/em>, koje je slu\u017eilo zatvorenoj zajednici od najmanje 500 zlonamjernih aktera koji su mogli da kupe prilago\u0111eni komplet za kra\u0111u identiteta pod nazivom W3LL<\/em> Panel, dizajniran da zaobi\u0111e MFA<\/em>, kao i 16 drugih potpuno prilago\u0111enih alata za napad na poslovnu elektronsku po\u0161tu (BEC<\/em>)<\/a>.<\/span><\/p>\n

Istra\u017eivanje pokazuje da W3LL<\/em> Store<\/em> nudi rje\u0161enja za primjenu BEC<\/em> napada od po\u010detne faze biranja \u017ertava, phishing<\/em> mamaca sa naoru\u017eanim prilozima (podrazumijevano ili prilago\u0111eno), do pokretanja phishing<\/em> elektronskih poruka koje dospijevaju u sandu\u010di\u0107 \u017ertava. Istra\u017eiva\u010di ka\u017eu da je W3LL<\/em> dovoljno vje\u0161t da za\u0161titi svoje alate od otkrivanja ili uklanjanja tako \u0161to ih postavlja i odr\u017eava na kompromitovanim Internet serverima i uslugama. Pored toga, kupci tako\u0111e imaju opciju da koriste W3LL<\/em> OKELO<\/em> skener da prona\u0111u ranjive sisteme i sami dobiju pristup njima.<\/span><\/p>\n

Sigurnosni istra\u017eiva\u010di Group-IB<\/em> su identifikovali da su W3LL<\/em> alati za kra\u0111u identiteta kori\u0161\u0107eni za ciljanje preko 56.000 korporativnih Microsoft 365<\/em> naloga u SAD, Australiji i Evropi izme\u0111u oktobra 2022. godine i jula 2023. godine Prema grubim procjenama Group-IB<\/em>, W3LL<\/em> Store <\/em>poslovanje u posljednjih 10 mjeseci moglo je dosti\u0107i 500.000 ameri\u010dkih dolara.<\/span><\/p>\n

\"W3LL

W3LL identified targets; Source: Group-IB<\/em><\/p><\/div>\n

<\/h3>\n

Ko je W3LL?<\/em><\/strong><\/span><\/h3>\n

W3LL<\/em> karijera sajber kriminalaca mo\u017ee se pratiti do 2017. godine, kada su u\u0161li na tr\u017ei\u0161te sa W3LL<\/em> SMTP Sender<\/em> \u2013 prilago\u0111enim alatom za masovnu ne\u017eeljenu elektronsku po\u0161tu. Kasnije je W3LL<\/em> razvio i po\u010deo da prodaje svoju verziju phishing<\/em> kompleta za ciljanje korporativnih Microsoft 365<\/em> naloga. Rastu\u0107a popularnost prakti\u010dnog skupa alata podstakla je zlonamjernog aktera da se upusti u otvaranje prikrivenog podzemnog tr\u017ei\u0161ta na engleskom jeziku. W3LL<\/em> Store<\/em> je po\u010dela sa radom 2018. godine. Vremenom je platforma evoluirala u potpuno kompletan BEC<\/em> ekosistem koji nudi \u010ditav spektar phishing<\/em> usluga za sajber kriminalce<\/a> svih nivoa, od prilago\u0111enih alata za phishing<\/em> do dodatnih stavki kao \u0161to su liste za slanje poruka i pristup kompromitovanim serverima.<\/span><\/p>\n

W3LL<\/em> Store <\/em>pru\u017ea \u201ckorisni\u010dku podr\u0161ku<\/em>\u201d putem sistema zahtjeva i Internet dopisivanja u\u017eivo, a sajber kriminalci koji nemaju vje\u0161tine potrebne za kori\u0161tenje alata mogu da gledaju video uputstva. W3LL<\/em> Store<\/em> ima sopstveni bonus program za preporuke (sa 10% provizije na preporuke) i program za preprodavce (sa podjelom od 70\/30 na profit koji su prodavci trec\u0301ih strana ostvarili od prodaje na W3LL<\/em> Store<\/em>).<\/span><\/p>\n

 <\/p>\n

Infrastruktura<\/strong><\/span><\/h4>\n

Glavno W3LL <\/em>oru\u017eje je W3LL<\/em> Panel<\/em> koji se mo\u017ee smatrati jednim od najnaprednijih kompleta za kra\u0111u identiteta u klasi, koji sadr\u017ei funkciju protivnik u sredini, API<\/em>, za\u0161titu izvornog k\u00f4da i druge jedinstvene mogu\u0107nosti. W3LL<\/em> Panel<\/em> nema mno\u0161tvo la\u017enih stranica i dizajniran je posebno da ugrozi Microsoft 365<\/em> naloge.<\/span><\/p>\n

Me\u0111utim, zbog svoje visoke efikasnosti, phishing<\/em> kit<\/em> je postao povjeren uskom krugu BEC<\/em> kriminalaca. W3LL<\/em> nudi tromjese\u010dnu pretplatu na phishing kit<\/em> za 500 ameri\u010dkih dolara, a naredni mjeseci ko\u0161taju 150 ameri\u010dkih dolara svaki. Svaka kopija W3LL<\/em> Panel<\/em> mora biti omogu\u0107ena putem mehanizma za aktiviranje zasnovanog na tokenima, koji spre\u010dava preprodaju kompleta ili kra\u0111u njegovog izvornog k\u00f4da.<\/span><\/p>\n

Od avgusta 2023. godine W3LL<\/em> Panel <\/em>nudi 16 potpuno prilago\u0111enih alata koji su potpuno kompatibilni jedni sa drugima koji zajedno \u010dine kompletnu postavku za BEC<\/em> napade. Ovi alati uklju\u010duju SMTP<\/em> po\u0161iljaoce (PunnySender<\/em> i W3LL<\/em> Sender<\/em>), kontrolor zlonamjernih veza (W3LL<\/em> Redirect<\/em>), skener ranjivosti (OKELO<\/em>), automatski instrument za otkrivanje naloga (CONTOOL<\/em>), alate za izvi\u0111anje i jo\u0161 mnogo toga. Alati su dostupni na osnovu licenciranja i ko\u0161taju izme\u0111u 50 i 350 ameri\u010dkih dolara mjese\u010dno. \u0160tavi\u0161e, W3LL<\/em> redovno a\u017eurira svoje alate, dodaju\u0107i nove funkcionalnosti, pobolj\u0161avaju\u0107i mehanizme protiv otkrivanja i kreirajuc\u0301i nove, \u0161to nagla\u0161ava va\u017enost da se bude u toku sa najnovijim promjenama u njihovim taktikama, tehnikama i procedurama (TTP<\/em>).<\/span><\/p>\n

 <\/p>\n

Preuzimanje Microsoft 365<\/em> korporativnih naloga<\/strong><\/span><\/h5>\n

Istra\u017eivanje pokazuje da po\u010detna veza u mamcu za kra\u0111u identiteta ne vodi do la\u017ene stranice za prijavu na Microsoft 365<\/em> na W3LL<\/em> Panel <\/em>i da je to samo po\u010detak lanca preusmjeravanja namijenjenog spre\u010davanju otkrivanja stranica za phishing<\/em> W3LL<\/em> Panel<\/em>.<\/span><\/p>\n

Da bi W3LL<\/em> ugrozio Microsoft<\/em> 365<\/em> nalog, koristi tehniku protivnik\/\u010dovjek u sredini (AitM<\/em>\/MitM<\/em>)<\/a>, gdje komunikacija izme\u0111u \u017ertve i Microsoft<\/em> servera prolazi kroz W3LL<\/em> Panel<\/em> i W3LL<\/em> Store<\/em> koji djeluje kao pozadinska strana sistema. Cilj je da se dobije kola\u010di\u0107 sesije autentifikacije \u017ertve. Da bi se ovo desilo, W3LL<\/em> Panel<\/em> treba da pro\u0111e kroz nekoliko koraka, koji uklju\u010duju:<\/span><\/p>\n