‘PerSwaysion’ Phishing-Kampagne läuft noch und ist ubiquitär

Ein Phishing-Kit, dies weltweit nebst Tausenden von Angriffen eingesetzt wurde, ist fühlbar länger vital wie bisher spekulativ – und stellt weiterhin eine potenzielle Risiko zu Händen Unternehmen in mehreren Sektoren dar, wie neue Analysen zeigen.

Dasjenige Kit namens PerSwaysion soll Cyberkriminellen eine Möglichkeit eröffnen, relativ wie am Schnürchen und mit geringem Vorlaufaufwand eine Phishing-Kampagne zu starten. Welcher bemerkenswerteste Richtung jener Risiko ist die Verwendung von Microsoft-Dateifreigabediensten wie Sway, SharePoint und OneNote, um Benutzer gen Websites zum Stehlen von Anmeldeinformationen zu verführen.

David Pearson, Mitbegründer und Vorstandsvorsitzender von SeclarityIO, sagt, dass die Fazit jener Datenansammlung seines Unternehmens zu PerSwaysion zeigt, dass die Kampagne tatsächlich schon mindestens im zehnter Monat des Jahres 2017 gestartet wurde und derzeit trotz jener Veröffentlichung des Phishing-Kits jener Menschenschlag vital ist und TTPs.

Eine Fazit jener Datenansammlung von URLscan zeigte, dass zurückgezogen in den letzten 18 Monaten rund 7.403 Personen aus 14 Branchen zu einem bestimmten Zeitpunkt gen 444 einzigartigen Phishing-Portalen von PerSwaysion gelandet sind. Die Todesopfer kamen aus Organisationen jener US-Regierung, jener Finanzdienstleistungen, jener Pharmazie, des Gesundheitswesens, jener Luft- und Raumfahrt, des Maschinenbaus, jener Technologie und anderer Sektoren. Pearson schätzt die Zahl jener Organisationen, die seitdem Mai 2020 von jener Kampagne betroffen sind, gen mindestens Hunderte.

“Realistisch gesehen geht dies so lange Zeit, dass es wahrscheinlich ist, dass weitestgehend [every sector] betroffen ist”, sagt Pearson. “Dies ist ein Phishing-Kit, dies Kunden gen jener ganzen Welt hat, und [attackers] zielen darauf ab, wen sie wollen.”

Welcher Sicherheitsanbieter Group-IB gab jener Kampagne im vergangenen Jahr ihren Namen, nachdem er beobachtet hatte, wie stark jener Sway-Tätigkeit wie Teil jener Angriffskette missbraucht wurde. In einem Neuigkeit vom vierter Monat des Jahres 2020 beschrieb Group-IB PerSwaysion wie eine Sammlung dicker Teppich, dagegen gezielter Phishing-Angriffe, die von mehreren kriminellen Gruppen hauptsächlich gegen kleine und mittlere Finanzdienstleistungsunternehmen, Immobilienkonzerne und Anwaltskanzleien vollzogen wurden.

Welcher Sicherheitsanbieter hatte bewertet, dass die PerSwaysion-Kampagne seitdem 2019 läuft, und hatte siegreich E-Mail-Dienst-Konten von mindestens 156 hochrangigen Beamten mehrerer Organisationen, die hauptsächlich in den USA und Kanada wohnhaft sind, sowie einer geringeren Zahl in globalen Finanzzentren in Deutschland kompromittiert , Großbritannien, den Niederlanden und Hongkong.

In früheren Berichten von Group-IB und anderen übrig PerSwaysion wurde beschrieben, dass Angreifer vereinigen dreiphasigen Vorgang machen, um Benutzer gen Phishing-Sites zu verführen, die Zugangsdaten vereinen. Laut Group-IB erhalten potenzielle Todesopfer in jener ersten Winkel eine gut gestaltete Spear-Phishing-E-Mail-Dienst mit einem nicht bösartigen Portable Document Format-Begleitung, jener vorgibt, eine Mitteilung zum Dateiaustausch von Microsoft zu sein.

Benutzer, die in jener Mitteilung gen den Link „Jetzt Vorlesung halten“ klicken, werden zu einer File geleitet, die gen Microsoft Sway oder – seltener – einem anderen Microsoft-Dateifreigabedienst gehostet wird. Die Seite sieht genau wie eine authentische Microsoft-Filesharing-Site aus, außer wenn Benutzer gen den Link Jetzt Vorlesung halten klicken, werden sie zu einer Credential-Saving-Site weitergeleitet, die wie eine Kontoanmeldeseite aussieht.

Drag-and-Drop-Op

Pearson sagt, dass seine Fazit von PerSwaysion zeigt, dass dies Kit die Verfügbarmachung eines Phishing-Portals im Wesentlichen zu einem Drag-and-Drop-Vorgang zu Händen Angreifer macht. Dasjenige Kit enthält Vorlagen zum Spoofing von Konto-Anmeldeseiten von acht vertrauenswürdigen Marken, darunter Microsoft, Google, Facebook, Twitter und – wie Rauchzeichen darauf, wie lange Zeit es dies Kit schon gibt – manche ältere Marken wie Hotmail und AOL.

Die Angriffsinfrastruktur des Kits selbst besteht aus einem Kampfplatz-End-Phishing-Tunnelportal, gen dem die Todesopfer landen, wenn sie durch die URL-Sinister klicken, einer Vorlagen-Hosting-Site, einer Redirector-Site, die sicherstellt, dass dem Todesopfer die entsprechende Vorlage bereitgestellt wird, und jener Site zum Vereinen von Anmeldeinformationen selbst.

Frischer Einblick
Pearson sagt, dass SeclarityIO dank seiner Netzwerk-Interpreter-Technologie zweitrangig neue Einblicke in die Angriffsvektoren profitieren konnte, die verschiedene Bedrohungsakteure verwendet nach sich ziehen, um dies PerSwaysion-Kit initial an potenzielle Todesopfer zu liefern.

Die Plattform ermöglicht es Unternehmen, jede Betriebsart von Verkehrsflussformat hochzuladen, um wie zu verstehen, wer mit wem im Netzwerk kommuniziert hat, wie viele Pakete gesendet und empfangen wurden und andere Metriken.

“Wir schauen uns keine Nutzlastinformationen an”, sagt Pearson. “Wir schauen uns nur den Informationsfluss an und nach sich ziehen ungefähr 30 Kategorien, in die wir den Verkehrswesen teilen.”

SeclarityIO kategorisiert die Kommunikation zu jedem Port gen jeder Site, fügt er hinzu, um Unternehmen in diesem Fall zu helfen, bösartige Aktivitäten wie Command-and-Control (C2)-Datenverkehr zu identifizieren. Die Technologie arbeitet mit den Netzwerkflüssen einer Organisation zusammen und hilft Sicherheitsanalysten, zu visualisieren, welche Vektoren ein Angreifer unter Umständen verwendet hat, um Abwehrmaßnahmen zu umgehen, wie ein Benutzer mit jener Site interagiert nach sich ziehen könnte und ob solche Wechselbeziehung eine Beseitigung erfordert, bemerkt Pearson.

Die Plattform von SeclarityIO half zu zeigen, dass Bedrohungsakteure nebst einigen PerSwaysion-Angriffen URL-Shortener wie bit.ly und tiny.cc verwendeten, um zu versuchen, E-Mail-Dienst-Filter zu umgehen und bösartige URLs legitimer erscheinen zu lassen. In anderen Fällen nutzten Angreifer E-Mail-Dienst-Plattformen wie sendgrid.net, um ihre Phishing-Köder unverhohlen in die E-Mail-Dienst-Postfächer jener Benutzer zu liefern. Andere Taktiken bestanden darin, Benutzer gen legitime, dagegen kompromittierte Websites zu verführen, Weiterleitungen übrig Online-Darstellen und offene Weiterleitungen, um Benutzer gen eine andere Website umzuleiten, von jener sie beabsichtigten, zu umziehen.

Pearson sagt, SeclarityIO konnte nicht feststellen, wie dies PerSwaysion-Kit vermarktet wird. Sie konnten zweitrangig keine weiteren Informationen darüber ausgraben, wer dies Kit entwickelt nach sich ziehen könnte, übrig dies hinaus, welches Group-IB schon im letzten Jahr enthüllte: dass die Betreiber wahrscheinlich Vietnamesisch sprechen.