Сложная фишинговая инфраструктура на базе Microsoft Azure Front Door

Сложная фишинговая инфраструктура на базе Microsoft Azure Front Door

Источник: www.aitm-feed.com

Обнаружена сложная фишинговая инфраструктура с использованием Microsoft Azure Front Door и AiTM-атак

Недавнее расследование выявило масштабную и технически совершенную фишинговую кампанию, задействующую сервис Microsoft Azure Front Door для реализации атак с участием мошеннического промежуточного контрагента (Adversary-in-The-Middle, AiTM). Уникальность этой схемы заключается в использовании легитимных доменов Microsoft и многократных перенаправлений, что значительно затрудняет её обнаружение.

Кампания нацелена на ряд громких организаций, включая Всемирную продовольственную программу (WFP), ЮНИСЕФ, крупнейшие швейцарские СМИ и официальные email-адреса с доменом state.gov. Именно высокий профиль жертв делает эту угрозу особенно опасной.

Структура фишинговой инфраструктуры

Фишинговая инфраструктура разделена на два ключевых компонента — Инфраструктуру 1 и Инфраструктуру 2. Обе демонстрируют продвинутую техническую реализацию и схожие методы доставки вредоносной полезной нагрузки, однако различаются по механике перенаправления и тактике обфускации.

  • Инфраструктура 1 — более сложная и многоуровневая. Для перенаправления пользователей используется от 6 до 7 промежуточных переходов. Начинается все с ранее легитимного веб-сайта ritba.org, который генерирует специальный хэш, используемый на стороне клиента.
  • Хэш остаётся в URL до тех пор, пока код состояния не сигнализирует о завершении процесса перенаправления. Важно, что промежуточные сайты не имеют доступа к этому хэшу — его обработка происходит на более поздних этапах с помощью JavaScript.
  • Цепочка перенаправлений включает различные домены, служащие для сбора телеметрии, такие как sophos.com и awstrack.me, после чего пользователь перенаправляется на страницы входа в Azure, где хэш расшифровывается.

Особенности конечной фишинговой страницы

Финальная страница фишинга представляет собой высокотехнологичный веб-ресурс с несколькими слоями защиты и обфускации:

  • Использование библиотеки CryptoJS для шифрования и кодирования данных.
  • Динамическое обновление контента на основе ввода пользователя без перезагрузки страницы — это позволяет обойти многие стандартные системы обнаружения и анализа.
  • Поддержка различных способов передачи данных, включая комбинации email, паролей и многофакторную аутентификацию (MFA).
  • Блокировка известных методов отчетности и предупреждение использования определённых доменов электронной почты при создании отчетов об инцидентах.
  • Использование множества техник, препятствующих обратному проектированию: запутанные имена переменных, блокировка контекстного меню (щелчок правой кнопкой мыши), и применение строк в шестнадцатеричном коде.

Заключение: тренды в развитии фишинговых схем

Данная кампания демонстрирует значительный прогресс в инструментарии и тактиках злоумышленников: они не только регулярно обновляют методы обфускации, но и стремятся повторно использовать сложные кодовые базы в различных инфраструктурах, повышая их устойчивость к автоматическому обнаружению и анализу.

_Понимание принципов работы таких кампаний становится жизненно важным для специалистов по кибербезопасности_, стремящихся защитить организации от всё более изощренных и целенаправленных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: