I en ny attack som utnyttjar relationerna mellan olika organisationer kunde hackare skapa en BEC-kedja (Business Email Compromise) mot fyra eller fler organisationer genom att hoppa från en angripen organisation till nästa och utnyttja relationerna mellan dem. Attacken, som Microsofts forskare kallar multi-stegs adversary-in-the-middle (AITM) phishing, började med ett intrång hos en betrodd leverantör och riktade sig mot organisationer inom bank- och finanssektorn.
”Denna attack visar komplexiteten i AItM- och BEC-hot, som missbrukar betrodda relationer mellan leverantörer, leverantörer och andra partnerorganisationer för att genomföra ekonomiskt bedrägeri”, säger Microsoft-forskarna.
Nätfiske med indirekta proxies
AItM-phishing är en numera vanlig teknik för att kringgå multifaktorautentisering som är beroende av engångskoder som användare anger manuellt under inloggningssessioner, oavsett hur de tas emot: e-post, sms eller genererade av en telefonapp. Det vanligaste sättet att utföra AItM är att använda en omvänd proxy, där offret ansluter till en angripar-kontrollerad domän och webbplats som helt enkelt slussar allt innehåll och efterföljande förfrågningar från den verkliga inloggningssidan till den utsatta tjänsten.
I en sådan nätfiskekampanj, som det nu finns verktyg med öppen källkod för att utföra, får angriparna en passiv övervakningsfunktion av trafiken mellan offret och den tjänst som de autentiserar sig på. Målet är att fånga upp den sessionskaka som skickas tillbaka av tjänsten när autentiseringen är klar och sedan missbruka den för att få direkt åtkomst till offrets konto. Detta har dock också nackdelar för angriparna om ytterligare policyer finns på plats som fångar upp och verifierar andra aspekter av offrets maskin, eftersom en efterföljande inloggning från en angripare kan utlösa en säkerhetsvarning och flagga sessionen som misstänkt.
I den nya attack som Microsoft observerat använde angriparna, som företaget spårar under det tillfälliga namnet Storm-1167, en anpassad phishing-verktygslåda som de själva utvecklat och som använder en indirekt proxymetod. Detta innebär att den phishing-sida som skapats av angriparna inte innehåller något innehåll från den riktiga inloggningssidan utan snarare efterliknar den som en fristående sida helt under angriparnas kontroll.
När offret interagerar med phishing-sidan initierar angriparna en inloggningssession med den riktiga webbplatsen med hjälp av de uppgifter som offret har angett och ber sedan om MFA-koden från offret med hjälp av en falsk prompt. Om koden tillhandahålls använder angriparna den för sin egen inloggningssession och får sessionskakan direkt. Offret omdirigeras sedan till en falsk sida. Detta är mer i linje med traditionella nätfiskeattacker.
”Eftersom phishing-webbplatsen är skapad av angriparna har de mer kontroll över att ändra det visade innehållet beroende på scenariot”, säger Microsoft-forskarna.
”Eftersom nätfiskeinfrastrukturen kontrolleras av angriparna har de dessutom flexibiliteten att skapa flera servrar för att undvika upptäckt. Till skillnad från typiska AITM-attacker finns det inga http-paket som förmedlas mellan målet och den faktiska webbplatsen.”
Etablerar åtkomst till e-post
När angriparna var anslutna till offrets konto genererade de en ny åtkomstkod för att ge dem en längre åtkomsttid och fortsatte sedan med att lägga till en ny MFA-autentiseringsmetod till kontot – en som använde en sms-tjänst med ett iranskt nummer. De skapade sedan en filtreringsregel för e-postinkorgen som flyttade alla inkommande e-postmeddelanden till arkivmappen och markerade dem som lästa.
Attacken inleddes med en phishing-kampanj mot en anställd på ett företag som fungerade som en betrodd leverantör till flera organisationer. Angriparna använde en url som pekade på Canva.com, en gratis designplattform online för att skapa visuella presentationer, affischer och annan grafik. Url:en pekade på en sida som skapats av angriparna på Canva som imiterade en förhandsgranskning av ett One Drive-dokument. Om man klickade på den här bilden fördes användarna till en falsk Microsoft-inloggningssida för att autentisera sig.
Efter att ha komprometterat ett e-postkonto hos leverantören extraherade angriparna e-postadresser från befintliga e-posttrådar och skickade cirka 16 000 e-postmeddelanden modifierade på liknande sätt skadliga Canva-url:er.
”Angriparen övervakade sedan offrets användares brevlåda för olevererade och out-of-office e-postmeddelanden och raderade dem från arkivmappen”, enligt Microsoft-forskarna.
”Angriparen läste e-postmeddelandena från mottagarna som ställde frågor om äktheten hos nätfiskemeddelandet och svarade, möjligen för att falskeligen bekräfta att e-postmeddelandet är legitimt. E-postmeddelandena och svaren raderades sedan från brevlådan.”
Mottagarna av phishingmejlen skickades på samma sätt till en AITM-phishingsida och angreppskedjan fortsatte. Ett offer för den andra phishing-kampanjen från en annan organisation fick sin e-post komprometterad och användes för att skicka ytterligare phishing-meddelanden till partnerorganisationer. Kontona för efterföljande offer missbrukades på ett liknande sätt.
Kan växa snabbt
Precis som med attacker mot leverantörskedjan för programvara kan den här typen av AITM-phishing i flera steg och BEC-kombinationer få en exponentiell tillväxt. Enligt en ny rapport från FBI:s Internet Crime Complaint Center (IC3) ökade förlusterna från BEC-bedrägerier med 17 procent mellan december 2021 och december 2022. Målet med BEC-attacker är ofta att lura mottagare att initiera bedrägliga banköverföringar, dela privat personlig och finansiell information eller överföra kryptovaluta. IC3 har registrerat 277 918 BEC-incidenter under de senaste 10 åren internationellt med en förlust på över 50 miljarder dollar.
Några lösningar för att minska riskerna är att använda MFA-metoder som inte kan avlyssnas med AITM-tekniker, till exempel de som använder FIDO 2-nycklar och certifikatbaserad autentisering. Organisationer kan också implementera policyer för villkorad åtkomst som utvärderar inloggningsförfrågningar med hjälp av ytterligare användar- eller enhetsidentitetssignaler, till exempel ip-lokalisering eller enhetsstatus. Microsoft rekommenderar också att man implementerar kontinuerlig åtkomstutvärdering.