VIP3R: 새 배우.옛날 이야기.대성공.

핵심 요약

이 모든 것은 Menlo Labs의 한 동료가 사용자 이름과 암호가 있는 오픈 디렉터리를 우연히 발견했을 때 시작되었습니다.웹 서버의 내용을 살펴본 결과, 이것이 단일 캠페인의 결과라는 것을 알 수 있었습니다.이 캠페인은 상당히 성공적이었으며 여러 회사의 사용자 164명의 자격 증명이 손상될 수 있었습니다.이 게시물에 설명된 위협 활동은 다음과 같은 것으로 간주됩니다. 고도로 회피적인 적응형 위협 (HEAT)이는 현재의 기존 보안 조치를 쉽게 우회할 수 있습니다.

이 키트를 분석하는 과정에서 우리는 독특한 문자열 “DH4 VIP3R L337"을 발견했습니다.이로써 이 특정 키트와 액터에 대해 더 자세히 알아보려는 탐구가 시작되었습니다.

우리가 답하고자 하는 질문은 다음과 같습니다.

1. 이 액터는 몇 개의 캠페인을 시작했나요?
2. 특정 목표물을 노리고 있었나요?아니면 자격 증명을 수집하기 위한 광범위한 노력이 있었을까요?
3. 이 피싱 키트의 배후는 누구일까요?
4. TTP란 무엇입니까?

업종별 보안 침해 성공

기술적 분석

악의적 공격자의 운영 방식은 잠재적 피해자에게 이메일을 통해 HTML 첨부 파일을 보내는 것입니다.대부분의 보안 전자 메일 게이트웨이 (SEG) 에는 특정 파일 형식에 대한 기본 블록이 있지만 HTML 첨부 파일은 이러한 수준의 방어에서 제외됩니다.이는 많은 대형 금융 회사에서 암호화된 이메일을 전송하기 때문입니다. 이 경우 사용자는 먼저 계정을 등록하고 계정을 생성해야 메시지를 안전하게 볼 수 있습니다.이러한 암호화된 이메일은 일반적으로 HTML 첨부 파일 형태입니다.

다음 스크린샷 (그림 1) 은 사용자가 악성 HTML 첨부 파일을 열 때 표시되는 내용의 예입니다.

조사 결과에 따르면 공격자들은 대상 회사에서 사용하는 서비스를 기반으로 루어를 신중하게 선택하고 커스터마이징하는 것으로 보입니다.공격자들이 사용한 독특한 미끼를 총 147개나 확인했습니다.미끼는 사이버 보안 회사부터 금융 서비스 및 그 사이의 모든 것에 이르기까지 다양했습니다.

제출된 사용자 자격 증명은 ajax XHR 요청을 사용하여 공격자의 CnC에 전송됩니다.감사합니다 제이사이버섹, 서버 측 코드를 보내주신 덕분에 전체 공격 체인을 재구성하고 캠페인의 기능을 자세히 설명할 수 있었습니다.공격자는 피해자가 제출한 자격 증명을 검증하는 독특한 방법을 가지고 있습니다.

공격의 흐름은 다음과 같습니다.

1. 공격자는 사용자 지정된 HTML 첨부 파일 페이로드를 피해자에게 보냅니다.
2. 피해자가 첨부 파일을 열면 자신이 사용하는 서비스를 가장한 피싱 페이지가 표시됩니다.
3. 피해자가 제출 버튼을 누르면 서버 측에서 암호 확인 및 확인이 수행되고 그에 따라 응답이 전송됩니다.
4. 검증 및 확인 프로세스는 phpMailer 라이브러리를 사용하고 피해자의 사용자 이름과 비밀번호가 포함된 이메일을 공격자가 제어하는 이메일 주소로 전송하여 수행됩니다.
5. 이메일이 실패하면 (즉, 비밀번호 확인에 실패함), json 응답 {“msg”:” errorsend”} 이 클라이언트 (브라우저) 로 다시 전송됩니다.그러면 클라이언트는 루어의 합법적인 웹사이트로 리디렉션됩니다.예를 들어 그림 1에 나와 있는 미끼에서는 피해자가 proofpoint.com으로 리디렉션됩니다.
6. 이메일이 성공적으로 전송되면 암호가 확인된 것이며 클라이언트는 Microsoft OneDrive에서 호스팅되는 PDF로 리디렉션됩니다.

초기 HTML 첨부 파일은 이러한 HTML 페이로드를 자동으로 생성하는 키트를 사용하여 생성된다고 생각합니다.Menlo Labs 연구원들은 키트를 찾는 데 상당한 시간을 보냈지만 결국 찾을 수 없었습니다.그러한 키트를 알고 있는 연구자가 있다면, 우리는 그들과 협력하여 이러한 페이로드 생성 키트가 어떻게 작동하는지 이해하고 싶습니다.하지만 추가 세부 정보가 나오기 전까지는 이 페이로드 생성 키트를 VIP3R_L33T Generator로 추적하고 있습니다.

공격자 인프라 분석

자격 증명이 전송된 대부분의 도메인은 NameCheap 도메인 등록 서비스를 사용하여 등록되었습니다.이 서비스는 저렴하면서도 도메인 등록자를 위한 비공개 서비스이므로 도메인을 등록한 사용자에 대한 세부 정보가 숨겨집니다.

공격자가 사용한 별칭은 다음과 같습니다.

1. DH4 VIP3R L33T
2. B4d 바이오 L3T
3. ICQ 사일런트 C0der
4. *0명

결론

크리덴셜 피싱은 여전히 고객 중 가장 많이 발생하는 공격입니다.우리는 지역과 업종을 불문하고 모든 고객이 이 벡터의 영향을 받는 것을 목격했습니다.대략 22퍼센트 플랫폼 전반에 걸쳐 발생하는 공격의 수는 크리덴셜 피싱 공격입니다. 7% 기존 URL 평판 엔진에서는 이러한 공격을 탐지하지 못했습니다.Menlo Labs 연구팀이 LURE라고 명명한 이러한 레거시 URL 평판 회피 기법은 에서 발견된 네 가지 회피 기법 중 하나입니다. 고도로 회피적인 적응형 위협 (HEAT).Menlo Labs 팀은 HEAT 공격이 급증하는 것을 목격했습니다. HEAT 공격은 우리 고유의 인지적 편향을 이용하고 우리를 속여 자격 증명을 입력하도록 유도합니다.이러한 편향과 공격자가 사용하는 전술이 결합되어 이러한 공격은 매우 성공적입니다.훈련 및 교육 이니셔티브를 통해 사이버 보안에 대한 인식을 높이면 자격 증명 피싱 공격의 영향을 줄이는 데 도움이 되는 경우가 많지만 기업 사용자는 사이트에서 개인 정보 또는 민감한 정보를 요구하는 양식을 표시할 때는 항상 주의를 기울여야 합니다.