Gli analisti di intelligence sulla sicurezza di Field Effect hanno recentemente scoperto una campagna Adversary-in-the-Middle (AiTM) che sfrutta Axios per attaccare account email di Microsoft 365 (M365).
Grazie a un utente di Reddit che ha fornito ulteriori Indicatori di Compromissione (IoC), è stato possibile anche ottenere screenshot dei domini di phishing utilizzati in questa campagna.
Inizio dell’Attacco
L’attacco inizia con la vittima che riceve un’email da un account legittimo ma compromesso, contenente un link a https://live.dot[.]vu/p/mccpppo/flipbook-start-with-pdf/, che conduce al seguente esca di phishing:
Quando la vittima clicca su questo link, viene reindirizzata all’URL ospitato da Cloudflare: https://8ex.unceridefu[.]com/cY2tCmX2/.
Dopo aver verificato di essere umani, appare la seguente pagina di login falsa di Microsoft:
Analisi Iniziale
Durante un’analisi preliminare dei tentativi di autenticazione su M365 da ISP inaspettati, Field Effect ha notato che la stringa user agent ‘axios/1.7.2’ era associata a tentativi sospetti di accesso a vari account utente.
Stringa User Agent ‘Axios’
Secondo il sito web di Axios, si tratta di un client HTTP basato su promesse1 per browser e node.js. Supporta funzionalità multiple, inclusi XMLHttpRequests dal browser e richieste HTTP da node.js. Axios supporta anche la capacità di intercettare, trasformare e cancellare dati di richiesta e risposta, che vedremo utilizzato dagli attori delle minacce in questa indagine.
Origini Sospette delle Richieste di Login
Dall’analisi approfondita, è stato osservato che molte delle richieste di login con una stringa user agent di Axios provenivano da due ISP: Hostinger International Limited e Global Internet Solutions LLC. Questi ISP sono stati precedentemente segnalati come sospetti da Field Effect per il loro frequente abuso da parte di attori delle minacce, di solito situati in Russia.
Cercando tutti i tentativi di login su M365 da questi due ISP, è stato rilevato l’uso di stringhe user agent associate a versioni più vecchie di Axios, come 1.6.8, e un’altra stringa user agent utilizzata sporadicamente, ‘BAV2ROPC’, associata a un protocollo di autenticazione Microsoft legacy usato principalmente per attacchi di password spraying.
Tentativi di Login Legittimi Mascherati
Sono state anche osservate richieste che sembravano avere stringhe user agent legittime. Tuttavia, ulteriori analisi hanno rivelato che questa era la stessa stringa user agent utilizzata dal legittimo proprietario dell’account target, ora utilizzata dall’attore delle minacce per far sembrare la richiesta di autenticazione più legittima.
Decifrare la Catena di Attacco
L’attenzione è stata concentrata su un particolare tentativo di login per decifrare la catena di attacco più ampia, scoprendo che l’utente target stava facendo richieste a domini dall’aspetto sospetto proprio mentre avvenivano i tentativi di login su M365.
L’IP (172.64.80[.]1) a cui questi domini risolvevano era collegato alla pagina di login di M365 del target.
Adversary-in-the-Middle (AiTM) BEC
Basandosi sull’esperienza e l’intuizione degli analisti, viene valutato che stanno osservando un attacco AiTM BEC in cui questi URL probabilmente porta a una pagina di login M365 apparente, ma in realtà era un lookalike basato su Axios progettato per raccogliere le credenziali M365 del target.
Una volta che la vittima inserisce le proprie credenziali e, se necessario, il codice MFA, l’infrastruttura Axios le cattura e le utilizza, e possibilmente il token di sessione, per accedere all’account M365 della vittima, completando così l’attacco AiTM BEC.
L’utente non sospetta nulla mentre accede al proprio account, nel frattempo, l’infrastruttura basata su Axios dell’attore delle minacce ha registrato le sue credenziali per un uso futuro.
Conclusione
Anche se è semplice per gli attori delle minacce mascherare o cambiare la stringa user agent associata ai loro attacchi, questo caso e molti altri mostrano che alcuni attori scelgono semplicemente di non cambiarla o se ne dimenticano, rendendo più facile per i difensori di rete rilevare e prevenire certi attacchi BEC.
Tuttavia, rilevare e bloccare le richieste di connessione basate solo sulla stringa user agent non dovrebbe essere considerato un controllo di sicurezza adeguato in sé. Piuttosto, dovrebbe far parte di un regime di rilevamento più ampio che includa connessioni da indirizzi IP sospetti, ISP, aree geografiche, viaggi impossibili, ecc.
Difesa Contro i BEC
Difesa Contro i BEC
Gli attacchi BEC (Business Email Compromise) rappresentano una minaccia crescente nel panorama digitale odierno. Nel giugno 2023, il Federal Bureau of Investigation ha stimato che gli attacchi BEC costano alle aziende 50 miliardi di dollari a livello mondiale. Questi attacchi sono furtivi e spesso sfuggono alle misure di sicurezza tradizionali. Sebbene le grandi aziende catturino frequentemente i titoli dei giornali, le piccole e medie imprese sono sempre più nel mirino a causa delle loro risorse e difese di cybersecurity limitate.
Affrontare i BEC richiede un approccio completo, agile e proattivo alla cybersecurity. Ecco alcuni consigli pratici per proteggere la vostra azienda da questi attacchi:
- Implementare l’Autenticazione a Due Fattori (2FA): Assicuratevi che tutti gli account email aziendali utilizzino l’autenticazione a due fattori per aggiungere un ulteriore livello di sicurezza.
- Formazione Continua del Personale: Educate regolarmente i dipendenti sui rischi associati al phishing e agli attacchi BEC. Simulazioni di phishing possono aiutare a preparare il personale a riconoscere e reagire correttamente a tentativi di compromissione.
- Monitoraggio Costante delle Email: Utilizzate soluzioni di monitoraggio delle email per rilevare e bloccare attività sospette, come la creazione di regole di inoltro automatico o l’accesso da indirizzi IP insoliti.
- Implementazione di Politiche di Sicurezza Rigide: Stabilite politiche chiare per la gestione delle email aziendali e assicuratevi che tutte le transazioni finanziarie e le richieste di modifica delle informazioni sensibili siano verificate tramite un secondo canale di comunicazione.
- Utilizzo di Soluzioni MDR (Managed Detection and Response): Le soluzioni MDR forniscono strumenti avanzati per rilevare e rispondere rapidamente agli attacchi BEC. Ad esempio, Field Effect’s MDR monitora costantemente le attività sospette e fornisce allarmi in tempo reale.
- Monitoraggio dei Domini Typo-Squatting: Tenete traccia dei domini che potrebbero essere utilizzati per il typo-squatting, registrati con variazioni minime dei vostri domini aziendali.
- Analisi delle Email Sospette: Incoraggiate i dipendenti a segnalare email sospette per l’analisi. Utilizzare un servizio di analisi delle email sospette può aiutare a identificare rapidamente minacce potenziali.
- Aggiornamento Costante delle Soluzioni di Sicurezza: Assicuratevi che tutti i software di sicurezza e i sistemi operativi siano costantemente aggiornati per proteggere contro le vulnerabilità note.
- Verifica delle Identità dei Fornitori e Clienti: Implementate procedure di verifica per tutte le comunicazioni finanziarie con fornitori e clienti per prevenire frodi.
Ricordate, il costo e lo sforzo per gli attaccanti di eseguire un attacco BEC sono minimi rispetto ai danni che possono causare. Adottare un approccio proattivo e multilivello alla sicurezza può proteggere e potenziare la vostra azienda contro queste minacce sempre più sofisticate.
Mitigazione
Per ridurre il rischio posto dalle attività BEC descritte, i difensori di rete possono adottare diverse misure di mitigazione efficaci:
- Analisi dei Log: Monitorare attentamente i log di accesso per identificare tentativi di login sospetti utilizzando gli Indicatori di Compromissione (IoC) specificati.
- Isolamento e Ripristino degli Account Compromessi: Disconnettere immediatamente gli account compromessi da tutte le sessioni attive e procedere con il reset delle credenziali.
- Implementazione dell’Autenticazione Multi-Fattore (MFA): Abilitare l’autenticazione multi-fattore su tutti gli account per aggiungere un livello di sicurezza aggiuntivo contro l’accesso non autorizzato.
- Formazione sulla Consapevolezza del Phishing: Educare tutti i dipendenti sulla consapevolezza del phishing, insegnando loro a riconoscere e gestire messaggi sospetti ricevuti via email, SMS o social media, specialmente quelli contenenti link o allegati.
Adottando queste misure, le organizzazioni possono rafforzare la loro difesa contro le minacce BEC e migliorare la resilienza della loro infrastruttura di sicurezza.
Indicatori di Compromissione IoC
Stringhe User Agent:
axios/1.7.2
axios/1.7.1
axios/1.6.8
axios/1.6.7
agentaxios/1.7.2
BAV2ROPC
Provider di Hosting:
Hostinger International Limited (AS47583)
Global Internet Solutions LLC (AS207713)
Domini di Phishing:
lsj.logentr[.]com
okhyg.unsegin[.]com
ldn3.p9j32[.]com
8ex.unceridefu[.]com
live.dot[.]vu
Indirizzi IP:
141.98.233[.]86
154.56.56[.]200
162.213.251[.]86
172.64.80[.]1
194.164.76[.]149
212.18.104[.]107
212.18.104[.]108
212.18.104[.]109
212.18.104[.]7
212.18.104[.]78
212.18.104[.]79
212.18.104[.]80
212.18.104[.]90
2a02:4780:10[:]5be5::1
2a02:4780:10[:]86a6::1
2a02:4780:10[:]b082::1
2a02:4780:12[:]318a::1
2a02:4780:12[:]423e::1
2a02:4780:8:1311:0:1a7e[:]ec58:2
2a02:4780:c[:]412f::1
2a02:4780:c[:]7c34::1
54.186.238[.]27
62.133.61[.]17
62.133.61[.]18
72.68.160[.]230
92.118.112[.]53
- Un promise-based HTTP client per browser è uno strumento o libreria che permette di effettuare richieste HTTP (come GET, POST, PUT, DELETE) dal browser (o da un ambiente server come Node.js) utilizzando il paradigma delle “promesse” di JavaScript.
Cos’è una Promessa (Promise) in JavaScript?
Una promessa è un oggetto che rappresenta il completamento (o il fallimento) eventuale di un’operazione asincrona e il suo valore risultante. Le promesse sono utili per gestire operazioni che richiedono tempo per completarsi, come le richieste HTTP.
Le promesse hanno tre stati:
Pending: la promessa è stata creata ma non ha ancora completato la sua operazione.
Fulfilled: l’operazione è completata con successo e la promessa ha un valore.
Rejected: l’operazione è fallita e la promessa ha un motivo di fallimento (un errore).
Come Funzionano le Promesse?
Quando si effettua una richiesta HTTP usando un client basato su promesse, si ottiene una promessa che si risolve quando la richiesta è completata. ↩︎
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!