كيف تستهدف عصابة صيد غامضة أكثر من 8000 حساب Microsoft 365 تجاريًا؟ تم ربط "إمبراطورية الصيد" غير الموثقة سابقًا بهجمات إلكترونية تستهدف حسابات بريد Microsoft 365 التجارية على مدار الست سنوات الماضية.

كيف تستهدف عصابة صيد غامضة أكثر من 8000 حساب Microsoft 365 تجاريًا؟

كيف تستهدف عصابة صيد غامضة أكثر من 8000 حساب Microsoft 365 تجاريًا؟ تم ربط “إمبراطورية الصيد” غير الموثقة سابقًا بهجمات إلكترونية تستهدف حسابات بريد Microsoft 365 التجارية على مدار الست سنوات الماضية.

قال جروب-آي بي في تقرير مشترك مع The Hacker News: “أنشأ فاعل التهديد سوقًا سريًا تحت الأرض يُسمى W3LL Store. يخدم مجتمعًا مغلقًا يضم ما لا يقل عن 500 فاعل تهديد يمكنهم شراء مجموعة مخصصة من الأدوات تسمى W3LL Panel مصممة لتجاوز MFA. بالإضافة إلى 16 أداة مخصصة بالكامل لـ هجمات الاحتيال الإلكتروني (BEC)”.

يُقدر أن البنية التحتية للصيد قد استهدفت أكثر من 56000 حساب Microsoft 365 تجاريًا و compromised ما لا يقل عن 8000 منها. في المقام الأول في الولايات المتحدة والمملكة المتحدة وأستراليا وألمانيا وكندا وفرنسا وهولندا وسويسرا وإيطاليا بين أكتوبر 2022 ويوليو 2023. محققًا أرباحًا غير مشروعة قدرها 500000 دولار ل operators.

من بين القطاعات البارزة التي تم اختراقها باستخدام حل الصيد الإلكتروني تصنيع وتكنولوجيا المعلومات والاستشارات والخدمات المالية والرعاية الصحية والخدمات القانونية. قال جروب-آي بي في أنه حدد ما يقرب من 850 موقعًا phishing فريدًا يُنسب إلى W3LL Panel خلال نفس الفترة الزمنية.

وصفت شركة الأمن السيبراني التي تتخذ من سنغافورة مقراً لها W3LL بأنها أداة phishing شاملة تقدم مجموعة كاملة من الخدمات بدءًا من أدوات phishing المخصصة إلى قوائم البريد الإلكتروني والوصول إلى الخوادم compromised. مما يؤكد الاتجاه الصعودي لمنصات phishing-as-a-service (PhaaS).

نشط منذ عام 2017. لدى فاعل التهديد وراء المجموعة تاريخًا طويلًا في تطوير البرامج المخصصة لرسائل البريد الإلكتروني العشوائية (المعروفة باسم PunnySender و W3LL Sender) قبل أن يتحول انتباههم إلى إعداد أدوات phishing لاختراق حسابات البريد الإلكتروني التجارية.

أحد المكونات الأساسية لأسلحة W3LL’s malware هو مجموعة أدوات phishing adversary-in-the-middle (AiTM) التي يمكنها تجاوز حماية مصادقة متعددة العوامل (MFA). يتم بيعه بسعر 500 دولار لاشتراك لمدة ثلاثة أشهر مع رسوم شهرية لاحقة قدرها 150 دولارًا.

هل تتضمن اللوحة وظائف مضادة للروبوت.

بالإضافة إلى جمعCredentials. تتضمن اللوحة وظائف مضادة للروبوت للتهرب من أدوات فحص محتوى الويب الآلية و extending عمر حملات ال phishing و malware الخاصة بهم.

يقدم W3LL Store أيضًا إلى affilates PhaaS تقسيمًا بنسبة 70/30 على العمولات المكتسبة من خلال برنامج إعادة البيع الخاص به ومكافأة “إحالة” بنسبة 10٪ لجذب أطراف موثوق بها أخرى إلى المجتمع. لمنع سرقة الكود المصدري أو إعادة بيعه. يتم تمكين كل نسخة من اللوحة من خلال آلية تنشيط تستند إلى الترخيص.

كما تتضمن هجمات BEC التي تستفيد من مجموعة أدوات phishing W3LL مرحلة تحضيرية لvalidate عناوين البريد الإلكتروني باستخدام أداة مساعدة تسمى LOMPAT وتسليم رسائل ال phishing.

الضحايا الذين يفتحون الرابط أو المرفق الوهمي يتم تصفيتهم من خلال البرنامج النصي المضاد للروبوت لfilter الزوار غير المصرح لهم (يتم توجيههم إلى Wikipedia) و ultimately اصطحابهم إلى صفحة ال landing phishing عبر سلسلة إعادة توجيه تستخدم تكتيكات AitM لسرقةCredentials و ملفات تعريف الارتباط الخاصة بالجلسة.

مسلحًا بهذا access. يشرع فاعل التهديد في تسجيل الدخول إلى حساب Microsoft 365 الخاص بالهدف دون triggering MFA. و automate اكتشاف الحساب على المضيف باستخدام أداة مخصصة تسمى CONTOOL. وجمع رسائل البريد الإلكتروني وأرقام الهواتف والمعلومات الأخرى.

من بين التكتيكات البارزة التي ي adoptedها مؤلف malware استخدام Hastebin. وهو خدمة مشاركة الملفات. لتخزين ملفات تعريف الارتباط

ماذا يستخدم فاعل للتهديد.

الـ Telegram و email لـ exfiltrate الـ credentials إلى الجهات الفاعلة الإجرامية.

يأتي الكشف عن هذه المجموعة بعد أيام من تحذير Microsoft من انتشار تقنيات AiTM التي يتم نشرها من خلال منصات PhaaS مثل EvilGinx و Modlishka و Muraena و EvilProxy و Greatness للسماح للمستخدمين بالوصول إلى الأنظمة المخصصة دون إعادة المصادقة على نطاق واسع.

بينما. قال أنطون أوشاكوف من جروب-آي بي: “ما يجعل W3LL Store ومنتجاته تبرز من بين الأسواق السرية الأخرى هو حقيقة أن W3LL لم ينشئ مجرد سوقًا بل نظامًا بيئيًا معقدًا للصيد الإلكتروني مع مجموعة أدوات مخصصة متوافقة تمامًا تغطي تقريبًا كامل سلسلة القتل لـ BEC ويمكن استخدامها من قبل مجرمي الإنترنت من جميع المستويات التقنية”.

“لقد خلق الطلب المتزايد على أدوات الصيد سوقًا سريًا مزدهرًا. مما جذب عددًا متزايدًا من البائعين. تدفع هذه المنافسة إلى الابتكار المستمر بين مطوري الصيد. الذين يسعون إلى تحسين كفاءة أدواتهم الخبيثة من خلال ميزات وطرق جديدة لعملياتها الإجرامية”.

نصائح للحماية من هجمات الصيد الإلكتروني

فيما يلي بعض النصائح للمساعدة في حماية نفسك من هجمات الصيد الإلكتروني:

  • كن حذرًا من الرسائل الإلكترونية التي تبدو مريبة ، خاصةً إذا كانت تحتوي على روابط أو مرفقات.
  • لا تنقر أبدًا على الروابط أو تنزيل المرفقات من رسائل البريد الإلكتروني من مصادر غير معروفة.
  • تحقق دائمًا من عنوان البريد الإلكتروني للمرسل قبل فتح أي شيء.
  • استخدم برنامج مكافحة الفيروسات والحفاظ عليه محدثًا.
  • قم بتنشيط مصادقة متعددة العوامل (MFA) على حساباتك المهمة.

خاتمة

في النهاية تسلط هذه المقالة الضوء على تهديد متزايد من مجموعات الصيد الإلكتروني التي تستهدف الشركات. من المهم أن تكون على دراية بهذه التهديدات واتخاذ خطوات لحماية نفسك.

تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.