Neuer Bericht
Menlo Security wurde im GigaOM Radar Report für sicheres Surfen in Unternehmen als führendes Unternehmen ausgezeichnet
Icon Rounded Closed - BRIX Templates

Der EvilProxy-Phishing-Angriff schlägt tatsächlich zu

|

Zusammenfassung

Menlo Labs hat kürzlich eine Phishing-Kampagne identifiziert, die sich an Führungskräfte in Führungspositionen in verschiedenen Branchen richtet, vor allem aber an Bank- und Finanzdienstleistungen, Versicherungsanbieter, Immobilienverwaltung und Immobilien sowie Fertigung.

Die wichtigsten Ergebnisse, die auf unseren Recherchen zur Phishing-Kampagne basieren, lauten wie folgt:

  • Die Kampagne begann im Juli und wurde bis in den August hinein fortgesetzt.
  • Die Kampagne verwendete ein ausgeklügeltes Phishing-Kit namens „EvilProxy“, das als Reverse-Proxy fungiert und die Anfragen zwischen dem Client und der legitimen Website abfängt.
  • 'EvilProxy' besitzt die Fähigkeit, Sitzungscookies zu sammeln und so die MFA zu umgehen, die nicht gegen Phishing resistent ist.
  • Die Kampagne richtete sich hauptsächlich an in den USA ansässige Organisationen.
  • Die Bedrohungsakteure nutzten eine offene Umleitungslücke auf der Jobsuchplattform „indeed.com“ aus und leiteten die Opfer auf bösartige Phishing-Seiten um, die sich als Microsoft ausgeben.

Dies ist ein klassisches Beispiel für einen AiTM-Phishing-Angriff (Adversary In The Middle), bei dem Sitzungscookies gesammelt werden, sodass Bedrohungsakteure den MFA-Schutz umgehen können.

Bedrohungsinformationen

Im Juli 2023, Menlo Security HEAT-Schild entdeckte und blockierte einen neuartigen Phishing-Angriff, bei dem die Opfer auf der Website „indeed.com“ auf eine Phishing-Seite umgeleitet wurden, die sich als Microsoft ausgab. Folglich glaubt ein ahnungsloses Opfer, dass die Weiterleitung von einer vertrauenswürdigen Quelle wie „indeed.com“ stammt.

Example of phishing email
Abbildung 1: Beispiel der Phishing-Mail

Es wurde festgestellt, dass die Bedrohungsakteure die Phishing-Seiten mithilfe der Phishing-as-a-Service-Plattform namens „EvilProxy“ bereitstellen. Der Dienst wird im Dark Web als Abonnementangebot beworben und verkauft. Die Gültigkeitsdauer des Abonnements liegt zwischen 10 Tagen, 20 Tagen und 31 Tagen. Einer der Schauspieler, bekannt unter dem Namen „John_Malkovich“, spielt die Rolle eines Administrators und Vermittlers, der Kunden, die den Dienst gekauft haben, unterstützt.

Die Kampagne richtete sich an Mitarbeiter der obersten Führungsebene und andere wichtige Führungskräfte in Unternehmen mit Sitz in den Vereinigten Staaten in verschiedenen Sektoren.

Die folgende Tabelle zeigt die verschiedenen Sektoren, auf die die Kampagne abzielt.

pie chart showing target vertical distribution, with the most common verticals being manufacturing, property management and real estate, banking, and insurance
Abbildung 2: Verteilung der angestrebten Vertikalen

Diese Daten wurden mithilfe von Informationen zusammengestellt, die über URLScan-, Phishtank- und VirusTotal-Feeds gesammelt wurden.

Infektionsvektor

Der Infektionsvektor war eine Phishing-E-Mail mit einem Link, der fälschlicherweise so gestaltet ist, dass er von einer vertrauenswürdigen Quelle stammt, in diesem Fall von „indeed.com“. Beim Klicken auf den Link wird das Opfer auf eine gefälschte Microsoft Online-Anmeldeseite weitergeleitet.

Attacke Kill Chain

Die Darstellung der Attack-Kill-Kette mit der schrittweisen Aufschlüsselung ist unten dargestellt.

flowchart showing steps of attack
Abbildung 3: Darstellung der Angriffskette
  • Das Opfer erhält die Phishing-Mail mit dem Indeed-Link.
  • Das ahnungslose Opfer klickt auf den Indeed-Link in der E-Mail, der das Opfer auf die gefälschte Microsoft-Anmeldeseite weiterleitet.
  • Diese Phishing-Seite wird mit Hilfe des EvilProxy-Phishing-Frameworks bereitgestellt, das den gesamten Inhalt dynamisch von der legitimen Anmeldeseite abruft.
  • Die Phishing-Website fungiert als Reverse-Proxy und leitet die Anfrage an die eigentliche Website weiter.
  • Der Angreifer fängt die Anfragen und Antworten des legitimen Servers ab
  • Der Angreifer ist in der Lage, die Sitzungscookies zu stehlen.
  • Die gestohlenen Cookies können dann verwendet werden, um sich auf der legitimen Microsoft-Online-Website anzumelden, sich als Opfer auszugeben und das nicht phishing-resistente MFA zu umgehen

Technische Einzelheiten

Was ist eine Open-Redirection-Schwachstelle?

Eine offene Umleitung erfolgt, wenn eine Anwendung (beabsichtigt oder versehentlich) die Umleitung zu einer nicht vertrauenswürdigen externen Domäne veranlasst. Dieser Fehler kann ausgenutzt werden, um die Vertrauenswürdigkeit der Weiterleitungsquelle auszunutzen und das Opfer letztlich auf eine Phishing-Website oder eine kompromittierte Website umzuleiten, auf der Schadsoftware installiert ist.

Bei diesem speziellen Angriff klickt der Benutzer auf eine URL und glaubt, auf indeed.com oder eine andere seiner Subdomains weitergeleitet zu werden. Die Subdomain „t.indeed.com“ wird mit Parametern geliefert, um den Client zu einem anderen Ziel (example.com) umzuleiten, wie im folgenden Beispiel gezeigt. Die Parameter in der URL, die auf das „?“ folgen sind eine Kombination aus Parametern, die nur für indeed.com gelten, und dem Zielparameter, dessen Argument aus der Ziel-URL besteht. Daher wird der Benutzer beim Klicken auf die URL zu example.com weitergeleitet. Bei einem tatsächlichen Angriff würde der Benutzer auf eine Phishing-Seite weitergeleitet.

Die HTTP-Header-Anfrage und die Antworten zeigen die Umleitungskette, die durch die Sicherheitsanfälligkeit verursacht wurde.

Example of open redirection with youtube.com as the target URL
Abbildung 4: Erläuterung der offenen Weiterleitung mit youtube.com an der Ziel-URL als Beispiel
Screenshot of phishing page
Abbildung 5: Screenshot der Phishing-Seite

Die Bedrohungsakteure verwendeten das EvilProxy-Phishing-Kit, das als Reverse-Proxy fungiert und einen gegnerischen In-The-Middle-Angriff ausführt, indem es Benutzersitzungscookies stiehlt und so dazu beiträgt, die 2-Faktor-Authentifizierung zu umgehen, die MFA erfolgreich umgeht.

Infrastruktur für Angreifer

Die Phishing-Umleitungskette besteht aus 3 Teilen:

  • Der Phishing-Link, den das Opfer erhalten hat
  • Die Redirector-URL
  • Die Phishing-Seite

Das folgende Diagramm zeigt die Umleitungskette bei diesem speziellen Angriff.

chart showing 302 redirects
Abbildung 6: Phishing-Umleitungskette

Technische Beschreibung der Phishing-Seite

Es wurde festgestellt, dass die Phishing-Seiten die Subdomain „lmo.“ haben und speziell die Identität der Microsoft Online-Anmeldeseite angenommen haben. Es wurde festgestellt, dass die Phishing-Seiten auf Nginx-Servern gehostet wurden, die als Reverse-Proxy fungieren können. Der Reverse-Proxy ruft alle Inhalte ab, die wie die Anmeldeseiten dynamisch generiert werden können, und fungiert dann als Gegner in der Mitte, indem er die Anfragen und Antworten zwischen dem Opfer und der legitimen Website abfängt. Dies hilft beim Sammeln der Sitzungscookies und diese Taktik kann auf die Verwendung des EvilProxy Phishing-Kits zurückgeführt werden.

EvilProxy Attribution

Es wurden Artefakte beobachtet, die auf die Verwendung von EvilProxy zurückzuführen sind:

  • Von Shodan, URLScan aus kann festgestellt werden, dass diese Domains auf Nginx-Servern gehostet werden.
  • Auf den Phishing-Seiten wurden Ressourcen mit den unten aufgeführten allgemeinen URI-Pfaden gehostet, anhand derer sie identifiziert werden können.
  • 1) /tests/2.1/inhalt/
  • 2) /geteilt/1.0/inhalt/
  • 3) /officehub/bündel/
  • Das Phishing-Kit verwendet das Ajax-CDN von Microsoft, um beim dynamischen Abrufen und Rendern von Javascript-Inhalten zu helfen. Bei der Suche nach diesen spezifischen Zeichenfolgen in den URI-Pfaden können wir sie in IDS-Signaturen beobachten, die zur Erkennung von EvilProxy-URI-Inhalten erstellt wurden.
Code snippet
Code snippet
  • Eine der beobachteten POST-Anfragen enthält die E-Mail-Adresse des Opfers (in einigen Fällen Base64-kodiert) und die Sitzungs-ID. Dies ist auch ein einzigartiges Artefakt, das bei der Verwendung des EvilProxy-Phishing-Kits zu sehen ist. IDS-Regelübereinstimmung für dasselbe, wie unten gezeigt.
  • Beispiel für eine POST-Anfrage: https://lmo[.]bartmfil[.]com/? C29TZW9UZUBZB21LB25LLM9YZW==&session=E6EC0FE49FBFB31608198B22EAA2D00FE6EC0FE49FBFB31608198B22EAA2D00F&SSO_RELOAD=TRUE
POST request
IP addresses with a 407 Proxy Authentication Required client error status code
IP addresses with a 407 Proxy Authentication Required client error status code
  • Eine andere Möglichkeit besteht darin, nach Websites mit 444-Statuscode zu suchen, was eine Standard-Nginx-Serverantwort ist. Websites, auf denen ein Nginx-Server im Backend mit Subdomains wie (lmo) läuft., authentisch., live., live einloggen., ms.*)

Menlo-Schutz

Menlo hat diese Kampagne bei einem unserer Kunden beobachtet, und wir konnten diese Bedrohung dank unserer HEAT-Schild. HEAT Shield war dank seiner Echtzeitanalysefunktion in der Lage, diesen Phishing-Versuch im Handumdrehen zu erkennen und zu verhindern. HEAT Shield war in der Lage, die Phishing-Website erfolgreich zu erkennen, indem es KI-basierte Erkennungsmodelle nutzte, um die gerenderte Webseite zu analysieren, lange bevor die URL-Reputationsdienste und andere Sicherheitsanbieter diese Seite wegen bösartigen Verhaltens markierten. HEAT Shield generiert dabei auch die Zero-Hour Phishing-Erkennungswarnungen, die dazu beitragen, den SOC-Analysten einen besseren Überblick zu verschaffen, indem sie ihnen den Kontext der Bedrohung und angereicherte Daten zur Verfügung stellen, die ihre Recherchen angemessen unterstützen.

HEAT Shield schützt Benutzer vor dem Abgreifen von Zugangsdaten und der Kompromittierung von Konten, indem es den Angriffsvektor von der ersten Zugriffsphase an absperrt (MITRE ATT&CK-Framework) und definiert die Art und Weise, wie Sicherheit implementiert wird, neu, indem ein proaktiver Ansatz zur Bekämpfung solcher hochgradig ausweichenden Bedrohungen durchgesetzt wird. Diese sich schnell entwickelnde Bedrohungslandschaft macht es für uns unerlässlich, immer einen Schritt voraus zu sein und in Zero Trust by Design zu investieren.

Fazit

Angesichts der gesammelten Informationen und Analysen aus verschiedenen Quellen können wir mit Zuversicht feststellen, dass die Bedrohungsakteure das „EvilProxy“ -Phishing-Kit und insbesondere die offene Umleitungsanfälligkeit in der Anwendung „indeed.com“ ausnutzten, um sich als die Microsoft-Online-Seite auszugeben, um sich für Anmeldeinformationen und Kontokompromittierung auszugeben.

Kontokompromittierung ist nur die Vorstufe einer Angriffskette, die möglicherweise in einer Business Email Compromise enden könnte, bei der die potenziellen Auswirkungen von Identitätsdiebstahl über Diebstahl geistigen Eigentums bis hin zu massiven finanziellen Verlusten reichen könnten.

Es besteht eine hohe Wahrscheinlichkeit, dass wir einen Anstieg der Nutzung von 'EvilProxy' feststellen werden. Erstens ist es einfach zu bedienen und verfügt über eine einfache Oberfläche mit Tutorials und Dokumentationen, die im Dark Web leicht verfügbar sind. Die Fähigkeit, MFA zu umgehen, macht es zu einem leistungsstarken Tool im Arsenal für Cyberkriminelle.

Empfehlungen

  1. Informieren Sie die Nutzer durch Sensibilisierungssitzungen und Schulungen.
  2. Verwendung von phishing-resistenter MFA wie FIDO-basierter Authentifizierung wie Yubikeys.
  3. Stellen Sie sicher, dass die Ziel-URLs auch so legitim sind wie die Quell-URLs, anstatt davon auszugehen, dass sie sicher sind.
  4. Verwenden Sie Sitzungsisolationslösungen wie HEAT Shield, die die Benutzer in Echtzeit vor Zero-Hour-Phishing-Angriffen schützen.

Verantwortungsvolle Offenlegung

Menlo Labs hat sich an Indeed.com gewandt und sie über die Existenz der Open-Redirect-Sicherheitslücke und deren aktive Ausnutzung in freier Wildbahn informiert. Sie wurden über die Kritikalität und Schwere dieser Bedrohung informiert.

IOCS

Domänen

lmo [.] roxylvfuco [.] com [.] au
lmo [.] bartmfil [.] com
lmo [.] triperlid [.] com
roxylvfuco [.] com [.] au
earthscigrovp [.] com [.] au
mscr.earthscigrovp [.] com [.] au
vfuco.com [.] au
catalogsumut [.] com
ivonnesart [.] com
sheridanwyolibrary [.] org

IPs

199,204,248,121
193,239,85,29
212,224,107,74
206,189,190,128
116,90,49,27
85,187,128,19
202,139,238,230

Referenzen

https://www.resecurity.com/blog/article/evilproxy-phishing-as-a-service-with-mfa-bypass-emerged-in-dark-web
https://www.proofpoint.com/us/blog/email-and-cloud-threats/cloud-account-takeover-campaign-leveraging-evilproxy-targets-top-level
https://learn.microsoft.com/en-us/aspnet/ajax/cdn/overview
http://www.boredhackerblog.info/2022/11/looking-for-evilproxy-notes.html
https://www.darkreading.com/vulnerabilities-threats/evilproxy-commodifies-reverse-proxy-tactic-phishing-bypassing-2fa
https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/

Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail