Menlo Labs 연구팀은 최근 브라우저 (BitB) 공격에 브라우저를 사용하는 것으로 알려진 악성 도메인을 분석했습니다.BitB 공격은 사용자가 사이트로 이동하여 타사 (예: Google 또는 Facebook) 를 통해 로그인을 요청받을 때 시작됩니다.사용자가 링크를 클릭하면 HTML과 CSS를 사용하여 완전히 구성된 또 다른 팝업이 나타납니다.팝업에 표시된 URL은 합법적인 사이트처럼 보이지만 기본 iframe은 피싱 사이트를 가리킵니다.이러한 공격은 다음을 활용합니다. 고도로 회피적인 적응형 위협 (HEAT) 탐지를 회피하는 기술.
도메인 게이트웨이 [.] pinata [.] 클라우드를 분석한 결과 여러 피싱 사이트와 관련이 있는 것으로 나타났습니다.사이트뿐 아니라 참조 링크도 서로 달랐습니다.일반 이메일 로그인 페이지부터 가짜 CDC 랜딩 페이지까지, 이 도메인은 수많은 피싱 사이트를 호스팅했습니다.이제 그 중 일부를 여러분과 공유하고자 합니다.
첫 번째 URL 경로는 gateway.pinata [.] cloud/IPFS/QMUAW8PYP41RIYFRCIYLWGI1OMWKV5erkylze469JZDK7B입니다.
VirusTotal (VT) 에 따르면 이 멀웨어는 멀웨어와 관련이 있으며, 해당 멀웨어는 APT10 관련 것으로 분류되었습니다.해당 URL 경로를 통해 사이트로 이동하면 일반 메일 로그인 페이지가 나타납니다.
[애널리스트 의견: VT에는 APT10 멀웨어와 관련된 특정 URI가 있지만 분석 당시에는 이러한 연관성을 확인할 수 없었습니다.]
동일한 URL 경로로 이동했지만 끝에 # sellington@cdc.gov 을 추가하면 CDC 로그인 페이지가 나타납니다.
또한 일부 참조 URL 경로에도 이메일이 포함되어 있는 것으로 나타났습니다.예를 들어 https [://] thulth [.] com/public/css///# [victimname] @henkel .com은 https [://] gateway.pinata [.] cloud/ipfs/QMDXG94xwxwtzef7rm712rzl7ww4efbeynHNMUJNIFRYHG/.이것은 마이크로소프트의 타겟 페이지였습니다.
Cisco와 같은 사이트에 연결된 다른 흥미로운 참조 URL도 있습니다.Cisco Webex 웹 사이트에서 제공되는 이 공개 리디렉션은 Binary Defense의 블로그에서 언급되었습니다.에 따르면 블로그, “오픈 리다이렉트는 링크의 실제 목적지를 위장하는 데 사용되는 기법으로, 웹사이트가 임의의 URL을 받아들이는 매개 변수 중 하나로 받아들여 브라우저를 지정된 URL로 전달하는 상황을 악용합니다.”이 경우에도 리디렉션이 Microsoft의 또 다른 대상 페이지가 되는 것을 볼 수 있습니다.
또한 https [://] thulth [.] com과 http [://] go.eu.sparkpostmail1 [.] com에서 URL을 반복적으로 참조하는 것을 보았습니다.둘 다 마이크로소프트 타겟을 가지고 있었습니다.
피해자가 자격 증명을 입력하면 자바스크립트를 통해 https [://] ortadogulular [.] com/support/shieldshots.php 에 게시물을 올립니다.이러한 유형의 활동은 다음과 같은 것으로 간주됩니다. 고도로 회피적인 적응형 위협 (HEAT)웹 브라우저를 공격 벡터로 활용하고 이와 같은 다양한 기술을 사용하여 보안 스택의 여러 계층의 탐지를 회피하는 사이버 위협의 일종입니다.
우리는 이 도메인에 있는 대부분의 사이트가 이 체계를 따랐다는 것을 알게 되었습니다.이 BitB 공격은 Java를 사용하여 피해자의 자격 증명을 게시합니다.이 코드를 분석하여 이 기술을 사용하여 사이트를 호스팅한 도메인을 더 많이 식별할 수 있었습니다.
코드 분석을 통해 찾은 도메인 (554325.selcdn [.] ru) 은 피해자의 이름이 들어 있는 공유 폴더라는 제목의 피싱 이메일에 연결되어 있습니다.메시지 본문은 피해자에게 내부 액세스 폴더의 링크를 클릭하도록 지시합니다.그런 다음 링크를 통해 피해자는 동일한 JavaScript 코드를 사용하여 자격 증명을 유출하는 BitB 피싱 사이트로 이동합니다.
원래 도메인인 gateway.pinata [.] 클라우드에서도 피해자에게 로그인을 요청하여 공유 문서를 볼 수 있도록 하는 피싱 캠페인이 있었습니다. 마치 피해자에게 Excel 문서를 보려면 로그인을 요구하는 것처럼 보입니다.
분석 기간 동안 아직 구축 중인 것으로 보이는 BitB 사이트도 발견했습니다. https [://] ramiche639.github [.] io/TestGG는 빈 랜딩 페이지로 안내하고 https [://] imaginaryonesmint [.] xyz로 리디렉션합니다.이 페이지는 구글 로그인 페이지로 보이는 BitB 창과 함께 로드될 것입니다.하지만 분석 당시에는 제대로 작동하지 않아 피싱 페이지를 완전히 로드하지 못했습니다.
위협 행위자들이 피해자를 속여 자격 증명을 포기하도록 하는 새로운 방법을 시도함에 따라 BitB 공격은 계속 증가할 것입니다.다중 인증을 사용하면 SSO를 사용할 때 보안을 강화하는 데 도움이 될 수 있습니다.
Hash
29bdd8795f985a36c0206bb5a4566cc67be45d5058e758a8e2551da6d7263cf60845204a6d1c75092278d55c76f08346bf4419d04bcba2eee121eb2710fe24a1
Domains
gateway.pinata[.]cloud
https[://]thulth[.]com
http[://]go.eu.sparkpostmail1[.]com
https[://]554325.selcdn[.]ru
https[://]imaginaryonesmint[.]xyz
https[://]ramiche639.github[.]io/TESTGG
rule ajax_post
{
strings:
$a = "ajax"
$b = "dataType"
$c = "JSON"
$d = "url"
$e = "POST"
$f = "ai: ai"
$g = "pr: pr"
$h = "my_slice"
$i = "http:"
$j = "Verifying"
$k = "window.location.replace"
$l = "mgss"
$m = "show"
condition:
all of them
}
