Новые угрозы фишинга: анализ RaccoonO365 и его воздействие
Изображение: levelblue.com
В сентябре 2024 года LevelBlue Labs провела тщательную проверку угроз с целью выявления активности фишинга как услуги (PhaaS) в своем клиентском парке. Результатом этой работы стало обнаружение нового phishkit под названием RaccoonO365. Экспертная команда LevelBlue Managed Detection and Response (MDR) своевременно уведомила клиентов о компрометации учетных записей Office 365 и предоставила рекомендации по устранению неполадок.
Расследование и результаты
Первоначальные результаты расследования были переданы команде LevelBlue Labs для более глубокого анализа, который раскрыл дополнительные детали инфраструктуры и расшифровал JavaScript-код набора RaccoonO365. Этот анализ стал ключевым для понимания возможностей нового фишинг-комплекта.
Аномальные артефакты и обнаружения
В ходе расследования был выявлен аномальный артефакт, связанный с RaccoonO365, который использовал:
- Пользовательский агент, имитирующий сервисы Microsoft O365;
- Домены, ассоциированные с этими сервисами;
- Инфраструктуру Cloudflare.
После включения этих данных в поисковые запросы было обнаружено еще два случая, в результате чего общее число подтвержденных инцидентов достигло трех.
Несмотря на это, у клиента не поступало сигналов тревоги от экземпляров LevelBlue USM Anywhere. Третье обнаружение, компрометация деловой электронной почты (BEC), произошло после срабатывания аварийной сигнализации, указывающей на несанкционированный доступ с помощью RaccoonO365. Все три случая подверглись индивидуальному анализу, что привело к созданию нового правила корреляции для обнаружения пользовательского агента RaccoonO365 в связанных журналах.
Новые угрозы в киберпространстве
RaccoonO365 был разработан специально для пользователей Microsoft 365 и Outlook и в первую очередь нацелен на обход мер многофакторной аутентификации (MFA) и кражу сеансовых файлов cookie с использованием сложных методов фишинга. Набор предлагает:
- Подписку на Telegram;
- Различные уровни ценообразования;
- Доступ к фишинговым шаблонам и инструментам генерации URL-адресов.
Эффективность RaccoonO365 обеспечивается за счет применения передовых методов кодирования и обфускации, таких как Base64 и обфускация XOR для JavaScript.
Анализ угроз и ответ LevelBlue
Недавний анализ строк пользовательского агента, связанных с RaccoonO365, выявил его рабочие механизмы, включая:
- Динамическую визуализацию веб-страниц с обфускацией;
- Методы проверки подлинности пользовательского агента и браузера;
- Обработку потока аутентификации в фишинговом домене.
Хакеры, стоящие за RaccoonO365, нацелены на обычных пользователей, что подчеркивает необходимость постоянного мониторинга.
В ответ на выявленные угрозы LevelBlue сотрудничала с пострадавшими клиентами для принятия оперативных мер по устранению уязвимостей и улучшению защиты. Информация, полученная в результате анализа RaccoonO365, позволяет улучшить уровень защиты пользователей USM Anywhere и создать Pulse, содержащий недавно идентифицированные домены.
Такой упреждающий подход обеспечивает клиентам доступ к обновленным правилам корреляции, которые помогут в обнаружении потенциальных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
