۲۳ تير ۱۴۰۵ - ۱۱:۴۵
کد خبر: ۷۸۷۷۵

سه عملیات فیشینگ Microsoft ۳۶۵ با یک اشتباه ساده لو رفتند

سه عملیات فیشینگ Microsoft ۳۶۵ با یک اشتباه ساده لو رفتند
یک اشتباه ساده در پیکربندی یک سرور، پرده از سه عملیات گسترده فیشینگ علیه کاربران Microsoft ۳۶۵ برداشت.

به گزارش پایگاه خبری پایداری ملی به نقل از افتانا، شرکت امنیت سایبری فرانسوی Lexfo اعلام کرد که مهاجمی، یک سرور وب مبتنی بر Python را با قابلیت نمایش فهرست فایل‌ها (Directory Listing) به‌صورت عمومی در اینترنت در دسترس قرار داده بود؛ اشتباهی که باعث شد پژوهشگران به مجموعه کاملی از ابزارها، فایل‌های پیکربندی و اطلاعات عملیاتی، لاگ‌های سرقت اطلاعات، نسخه‌های پشتیبان و حتی سوابق فعالیت او دسترسی پیدا کنند.
 
بررسی این اطلاعات در نهایت به شناسایی سه کمپین مستقل منجر شد که همگی از نسخه‌های سفارشی‌شده ابزار متن‌باز Evilginx استفاده می‌کردند.
 
نخستین کمپین متعلق به مهاجمی مصری با نام مستعار codemado بود که با راه‌اندازی زیرساخت فیشینگ مبتنی بر حملات «مرد میانی» (AiTM)، توکن‌های نشست Microsoft ۳۶۵ را سرقت می‌کرد. بررسی لاگ‌ها نشان داد این کمپین بیش از یک سال فعال بوده و مهاجم با استفاده از توکن‌های سرقت‌شده، دسترسی خود به حساب‌های سازمانی را با تمدید مداوم نشست‌ها حفظ می‌کرد. او همچنین از ابزار اختصاصی MaDoO Blaster برای ارسال انبوه ایمیل‌های فیشینگ استفاده می‌کرد. دومین کمپین به توسعه‌دهنده‌ای نیجریه‌ای با نام مستعار mail-argenta تعلق داشت که نسخه‌ای سفارشی از Evilginx با نام red-queen را توسعه داده بود. این نسخه با تغییر برخی مکانیزم‌های امنیتی مرورگر، بازنویسی آدرس‌های اینترنتی برای کاهش احتمال شناسایی، تکمیل خودکار ایمیل قربانی و افزایش اعتبار کوکی‌های سرقت‌شده Microsoft ۳۶۵ تا یک سال، کارایی حملات AiTM را افزایش می‌داد. پژوهشگران همچنین با بررسی داده‌های افشاشده دریافتند این مهاجم از یک رمز عبور تکراری در چندین سرویس استفاده کرده و همین موضوع به شناسایی او کمک کرده است.
 
سومین کمپین که توسط فردی با نام مستعار saroula۰۱ اداره می‌شد، از روش متفاوتی استفاده می‌کرد و به‌جای سرقت رمز عبور، قابلیت قانونی OAuth Device Code Flow مایکروسافت را هدف قرار داده بود. در این حمله، قربانی از طریق یک صفحه جعلی به وب‌سایت واقعی microsoft.com/devicelogin هدایت می‌شد، احراز هویت و تأیید چندمرحله‌ای را روی زیرساخت رسمی مایکروسافت انجام می‌داد و در نتیجه، توکن دسترسی برای مهاجم صادر می‌شد. به همین دلیل این روش عملاً MFA را دور نمی‌زند، بلکه از فرآیند قانونی صدور مجوز سوءاستفاده می‌کند و حتی استفاده از Passkey یا کلید‌های امنیتی FIDO۲ نیز به‌تنهایی مانع آن نمی‌شود. بررسی لاگ‌های این کمپین نشان داد دست‌کم ۲۱۸ حساب کاربری در ۱۲ کشور، عمدتاً متعلق به سازمان‌ها، هدف این عملیات قرار گرفته‌اند.
 
Lexfo همچنین شواهدی از استفاده توسعه‌دهندگان هر سه پروژه از ابزار‌های هوش مصنوعی برای تولید بخشی از اسکریپت‌ها و کد‌های جانبی پیدا کرد. این شرکت هشدار داد کاهش هزینه و پیچیدگی اجرای چنین حملاتی باعث شده مجرمان سایبری بتوانند با استفاده از ابزار‌های متن‌باز و کمک هوش مصنوعی، کمپین‌های پیشرفته فیشینگ را با سرعت بیشتری راه‌اندازی کنند.
 
مایکروسافت و کارشناسان امنیت به سازمان‌ها توصیه کرده‌اند علاوه بر استفاده از روش‌های احراز هویت مقاوم در برابر فیشینگ، در صورت امکان قابلیت Device Code Flow را از طریق سیاست‌های Conditional Access غیرفعال کرده و از Continuous Access Evaluation (CAE) برای کاهش سوءاستفاده از توکن‌های سرقت‌شده بهره ببرند.

گزارش خطا
ارسال نظرات
نام
ایمیل
نظر
captcha