Η κυβερνοασφάλεια στον τομέα των επιχειρήσεων συνεχίζει να είναι ένα από τα πιο πιεστικά ζητήματα σήμερα, ιδιαίτερα για τα στελέχη της C-suite, που αποτελούν συχνά στόχους επιθέσεων. Ο κύριος φορέας απειλής πίσω από αυτές τις επιθέσεις είναι μια προηγμένη πλατφόρμα phishing-as-a-service (PhaaS) που ονομάζεται “VENOM”. Αυτή η πλατφόρμα, η οποία ανακαλύφθηκε πρόσφατα, έχει ως στόχο τα διαπιστευτήρια υψηλόβαθμων στελεχών σε διάφορους κλάδους, με σκοπό την υποκλοπή πολύτιμων πληροφοριών που μπορούν να οδηγήσουν σε εκτενείς οικονομικές ζημιές και επιπτώσεις στην αξιοπιστία των επιχειρήσεων. Η “VENOM” λειτουργεί με υπόδειγμα το οποίο συνδυάζει τη νέα τεχνολογία με παραδοσιακές μεθόδους ηλεκτρονικού ψαρέματος, και βάσει των στοιχείων που έχουν συλλεχθεί, φαίνεται ότι έχει ενεργό παρουσία τουλάχιστον από τον Νοέμβριο του προηγούμενου έτους.
Αξιοσημείωτο είναι ότι η πλατφόρμα γίνεται όλο και πιο πολυδιάστατη: φαίνεται ότι διατηρεί κλειστή πρόσβαση και δεν διαφημίζεται σε δημόσιους χώρους ή υπόγεια φόρουμ, γεγονός που περιορίζει την έκθεσή της στους ερευνητές και αυξάνει την αποτελεσματικότητα των επιθέσεών της.
Η αλυσίδα επίθεσης VENOM
Τα μηνύματα ηλεκτρονικού ψαρέματος, που ανακαλύφθηκαν από τους ερευνητές της εταιρείας κυβερνοασφάλειας Abnormal, χρησιμοποιούν την εμφάνιση ειδοποιήσεων κοινής χρήσης εγγράφων του Microsoft SharePoint για να υποδυθούν εσωτερικές επικοινωνίες και να εξαπατήσουν τους υπεύθυνους ασφαλείας. Αυτά τα μηνύματα είναι εξαιρετικά εξατομικευμένα και περιλαμβάνουν τυχαίο θόρυβο HTML, όπως ψεύτικες κλάσεις CSS και σχόλια, ενισχύοντας έτσι την αξιοπιστία τους.
Μια άλλη στρατηγική για την αύξηση της αξιοπιστίας είναι η εισαγωγή ψεύτικων νήματος email, που προσαρμόζεται στον εκάστοτε στόχο. Επιπλέον, περιλαμβάνουν έναν QR κωδικό, ο οποίος μπορεί να σαρωθεί από το θύμα, με σκοπό την παρακάμψη των εργαλείων ασφαλείας και την καταπολέμηση των συνηθισμένων τακτικών.
Πηγή: Ανώμαλη
“Η διεύθυνση email του στόχου κωδικοποιείται δύο φορές με Base64 στο τμήμα URL—το τμήμα μετά τον χαρακτήρα #,” δήλωσαν οι ερευνητές της Abnormal. “Τα τμήματα αυτά δεν μεταδίδονται ποτέ σε αιτήματα HTTP, διασφαλίζοντας τη θωράκιση της ταυτότητας του στόχου από τις καταγραφές του διακομιστή.”
Αξιοσημείωτο είναι ότι όταν το θύμα σαρώνει τον QR κωδικό, μεταφέρεται σε μια σελίδα προορισμού που λειτουργεί ως φίλτρο για τα εργαλεία ασφαλείας, διασφαλίζοντας ότι μόνο οι πραγματικοί στόχοι οδηγούνται στην πλατφόρμα phishing. Οι χρήστες που δεν ενδιαφέρουν τους επιτιθέμενους ανακατευθύνονται σε νόμιμους ιστότοπους, ώστε να μειωθεί η ύποπτη δραστηριότητα.
Αφού περάσουν τις δοκιμές αυτές, οι στόχοι μεταφέρονται σε μια σελίδα συλλογής διαπιστευτηρίων, όπου η διαδικασία εγκρίνει τη ροή σύνδεσης της Microsoft σε πραγματικό χρόνο. Αυτό επιτρέπει στους επιτιθέμενους να ανακατευθύνουν διαπιστευτήρια και κωδικούς MFA απευθείας στα API της Microsoft, καταγράφοντας ταυτόχρονα το διακριτικό περιόδου λειτουργίας.
Πηγή: Ανώμαλη
Επιπλέον της μεθόδου αντίπαλου στη μέση (AiTM), οι ερευνητές έχουν βρει μια νέα δημοφιλή τακτική ηλεκτρονικού ψαρέματος με κωδικό συσκευής. Σε αυτή την περίπτωση, οι στόχοι εξαπατώνται για να εγκρίνουν την πρόσβαση στον λογαριασμό τους Microsoft με αναγνώριση μέσω ενός εξωτερικού κωδικού συσκευής, πράγμα που καθιστά πολύ δύσκολη την ανίχνευση.
Πηγή: Ανώμαλη
Αυτή η προσέγγιση έχει αποκτήσει δημοτικότητα το τελευταίο έτος, εξαιτίας της αποδοτικότητάς της και της αντοχής της στις διαδικασίες επαναφοράς κωδικού πρόσβασης. Τουλάχιστον 11 κιτ phishing περιλαμβάνουν αυτή την επιλογή, καθιστώντας τη μία από τις πιο ευρέως χρησιμοποιούμενες τακτικές.
Και στις δύο περιπτώσεις, η VENOM είναι ικανή να δημιουργήσει γρήγορα μόνιμη πρόσβαση κατά τη διαδικασία ελέγχου ταυτότητας. Στην ροή AiTM, καταχωρεί μια νέα συσκευή στον λογαριασμό του θύματος, ενώ στη ροή κωδικού συσκευής αποκτά διακριτικό που παρέχει πρόσβαση στον λογαριασμό.
Σημαντική είναι η παρατήρηση ότι η απλή εφαρμογή του MFA (Multiple Factor Authentication) δεν είναι πλέον επαρκής ως προστασία. Τα στελέχη του C-suite θα πρέπει να εξετάσουν τη χρήση ελέγχου ταυτότητας FIDO2, να απενεργοποιούν τη ροή κωδικών συσκευής όταν δεν έχει ανάγκη και να εφαρμόζουν αυστηρότερες πολιτικές πρόσβασης με βάση τη σύγχρονη απειλή, για να προστατεύσουν τις πληροφορίες και τους λογαριασμούς τους.
Η αυτοματοποιημένη δοκιμή αποδεικνύει την ύπαρξη της διαδρομής. Το BAS αποδεικνύει αν τα χειριστήρια σας το προσωρούν. Οι περισσότερες ομάδες δεν συνεργάζονται.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για την αξιολόγηση οποιουδήποτε εργαλείου.
