Η Microsoft και το Υπουργείο Δικαιοσύνης έχουν κατασχέσει πάνω από 240 τομείς που χρησιμοποιούνται από πελάτες της ONNX, μιας πλατφόρμας phishing-as-a-service (PhaaS), για να στοχεύουν εταιρείες και ιδιώτες σε όλες τις Ηνωμένες Πολιτείες και παγκοσμίως από τουλάχιστον το 2017.
Σύμφωνα με Έκθεση Ψηφιακής Άμυνας της Microsoft 2024το ONNX (παλαιότερα γνωστό ως Caffeine) ήταν η κορυφαία υπηρεσία phishing Adversary in the Middle (AitM) ως προς τον όγκο των μηνυμάτων ηλεκτρονικού ψαρέματος κατά το πρώτο εξάμηνο του 2024. Δεκάδες έως εκατοντάδες εκατομμύρια μηνύματα ηλεκτρονικού ψαρέματος στόχευαν λογαριασμούς Microsoft 365 κάθε μήνα και πελάτες διαφόρων άλλες εταιρείες τεχνολογίας.
«Αυτά τα κιτ «κάντο μόνος σου» αποτελούν σημαντικό μέρος των δεκάδων έως εκατοντάδων εκατομμυρίων μηνυμάτων ηλεκτρονικού ψαρέματος που παρατηρούνται από τη Microsoft κάθε μήνα και η δόλια λειτουργία ONNX ήταν ο κορυφαίος 5 προμηθευτής το πρώτο εξάμηνο του 2024», δήλωσε η Microsoft στο BleepingComputer.
“Η δόλια επιχείρηση ONNX προσέφερε κιτ ηλεκτρονικού “ψαρέματος” που είχαν σχεδιαστεί για να στοχεύουν διάφορες εταιρείες σε όλο τον τεχνολογικό τομέα, συμπεριλαμβανομένων των Google, DropBox, Rackspace και Microsoft.”
Η ONNX προώθησε και πούλησε τα κιτ phish στο Telegram χρησιμοποιώντας διάφορα μοντέλα συνδρομής (Βασικά, Επαγγελματικά και Εταιρικά), που κυμαίνονται από 150 έως 550 $ μηνιαίως.
Οι επιθέσεις, που ελέγχονταν επίσης μέσω ρομπότ Telegram, συνοδεύονταν από ενσωματωμένους μηχανισμούς παράκαμψης ελέγχου ταυτότητας δύο παραγόντων (2FA) και πιο πρόσφατα στόχευαν υπαλλήλους χρηματοπιστωτικών εταιρειών (σε τράπεζες, παρόχους υπηρεσιών πιστωτικών ενώσεων και εταιρείες ιδιωτικής χρηματοδότησης) χρησιμοποιώντας phishing κωδικών QR ( γνωστές και ως τακτικές καταστολής.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιλάμβαναν συνημμένα PDF που περιείχαν κακόβουλους κωδικούς QR που ανακατεύθυναν τα πιθανά θύματα σε σελίδες που μοιάζουν με νόμιμες σελίδες σύνδεσης του Microsoft 365 και τους ζητούσαν να εισαγάγουν τα διαπιστευτήριά τους.
“Οι φορείς απειλών αξιοποιούν επιθέσεις quishing επειδή τα θύματα συνήθως σαρώνουν κωδικούς QR στις προσωπικές τους φορητές συσκευές (τους οποίους το θύμα μπορεί να χρησιμοποιήσει για επαγγελματικούς σκοπούς, ως μέρος του προγράμματος Bring Your Own Device (BYOD) της εταιρείας τους),” ρυθμιστής του κλάδου κινητών αξιών των ΗΠΑ FINRA προειδοποίησε επίσης στο α πρόσφατη ειδοποίηση. “Ως αποτέλεσμα, αυτές οι επιθέσεις είναι εξαιρετικά δύσκολο να παρακολουθηθούν με τυπική ανίχνευση τελικού σημείου.”
Οι εγκληματίες του κυβερνοχώρου που χρησιμοποιούν το ONNX ήταν ιδιαίτερα αποτελεσματικοί στην πραγματοποίηση των επιθέσεων τους, καθώς τα κιτ phishing βοηθούν στην παράκαμψη του ελέγχου ταυτότητας δύο παραγόντων (2FA) υποκλοπής αιτημάτων 2FA. Χρησιμοποιούν επίσης αλεξίσφαιρες υπηρεσίες φιλοξενίας που καθυστερούν την κατάργηση τομέων phishing και κρυπτογραφημένο κώδικα JavaScript που αποκρυπτογραφείται κατά τη φόρτωση της σελίδας, προσθέτοντας ένα επιπλέον επίπεδο συσκότισης για να αποφευχθεί ο εντοπισμός από σαρωτές anti-phishing.
«Αυτές οι επιθέσεις αποτελούν μια μοναδική πρόκληση για τους παρόχους κυβερνοασφάλειας, καθώς εμφανίζονται ως μια δυσανάγνωστη εικόνα για τις λειτουργίες ασφάλειας και σάρωσης». είπε Steven Masada, Βοηθός Γενικός Σύμβουλος στη Μονάδα Ψηφιακών Εγκλημάτων της Microsoft, σήμερα.
Οι λειτουργίες του ONNX σταμάτησαν απότομα τον Ιούνιο μετά από ερευνητές ασφαλείας του Dark Atlas ανακαλύφθηκε και αποκαλύφθηκε την ταυτότητα του ιδιοκτήτη του, Abanoub Nady (γνωστός και στο διαδίκτυο ως MRxC0DER).
«Μέσω μιας δικαστικής απόφασης που αποσφραγίστηκε σήμερα στην Ανατολική Περιφέρεια της Βιρτζίνια, αυτή η ενέργεια ανακατευθύνει την κακόβουλη τεχνική υποδομή στη Microsoft, διακόπτοντας την πρόσβαση των παραγόντων απειλών, συμπεριλαμβανομένης της δόλιας λειτουργίας ONNX και των πελατών της για εγκλήματα στον κυβερνοχώρο, και διακόπτοντας οριστικά τη χρήση αυτών των τομέων στο επιθέσεις phishing στο μέλλον», πρόσθεσε ο Masada.
“Στόχος μας σε όλες τις περιπτώσεις είναι να προστατεύσουμε τους πελάτες αποκόπτοντας τους κακόβουλους παράγοντες από την υποδομή που απαιτείται για τη λειτουργία τους και να αποτρέψουμε μελλοντική εγκληματική συμπεριφορά στον κυβερνοχώρο αυξάνοντας σημαντικά τα εμπόδια εισόδου και το κόστος της επιχειρηματικής δραστηριότητας. Μαζί μας είναι και ο συνενάγων LF (Linux Foundation) Projects, LLC, ο κάτοχος του εμπορικού σήματος του πραγματικού καταχωρημένου ονόματος και λογότυπου «ONNX».
Τον Οκτώβριο, η Microsoft και το Υπουργείο Δικαιοσύνης διέκοψαν επίσης την υποδομή επιθέσεων των ρωσικών χάκερ του ColdRiver FSB, κατασχέθηκαν πάνω από 100 domains που χρησιμοποιούνται σε επιθέσεις spear-phishing εναντίον κυβερνητικών υπαλλήλων των ΗΠΑ και ρωσικών μη κερδοσκοπικών οργανισμών.
Τον περασμένο Δεκέμβριο, η Μονάδα Ψηφιακών Εγκλημάτων της εταιρείας ανέλαβε επίσης δράση εναντίον ενός μεγάλου παρόχου διαδικτυακού εγκλήματος ως υπηρεσίας (Storm-1152) που κατέγραψε πάνω από 750 εκατομμύρια δόλιους λογαριασμούς email της Microsoft και συγκέντρωσε εκατομμύρια πουλώντας τους σε άλλους εγκληματίες στον κυβερνοχώρο.
VIA: bleepingcomputer.com
