مجرمان سایبری معمولاً در زمینههای خاص تخصص پیدا میکنند و تکنیکهای خود را برای انواع خاصی از کلاهبرداریها مانند سرقت دادههای کارتهای بانکی، انجام کلاهبرداریهای مالیاتی، اجرای طرحهای حمل و نقل و غیره بهبود میبخشند. از سال 2021 گروه مهاجمی به نام ATLAS LION که به عنوان THIRSTY CAMELS و STORM-0539 نیز شناخته میشود، روشهای مؤثری را برای هدف قرار دادن سیستمهای صدور کارتهای هدیه توسعه داده است. این گروه کمپینهای سرقت کارتهای هدیه را علیه برندهای مختلفی از جمله خردهفروشان آنلاین بزرگ، شرکتهای بیمه، اپراتورهای مخابراتی و دیگر سازمانها اجرا کرده است.
برای دسترسی به سیستمهای شرکتی، ATLAS LION با استفاده از فیشینگ از طریق ایمیل و سیستم پیام کوتاه (SMS) که به “smishing“ معروف است استفاده میکند تا کارکنان سازمانهای هدف را فریب دهد و اطلاعات دسترسی آنها را به دست آورد. کمپینهای این گروه معمولاً از صفحات فیشینگ AITM استفاده میکنند که به ATLAS LION اجازه میدهد تا اعتبارنامهها و توکنهای Session را سرقت کند. صفحات فیشینگ AITM به قربانیان احتمالی ارسال میشود سپس وقتی کسی اطلاعات ورود را وارد میکند این اطلاعات به سرویس معتبر ارسال میشود، وقتی سرویس معتبر اطلاعات ورود را تأیید کرده و کوکی session را باز میگرداند این کوکی توسط پراکسی جمعآوری شده و به مهاجمین منتقل میشود. این حمله قدرتمند نهتنها به مهاجمین اجازه میدهد تا اعتبارنامهها را به دست آورند بلکه با داشتن کوکی به آنها امکان دورزدن احراز هویت چندعاملی (MFA) را میدهد.
پس گرفتن دسترسی به یک session اولیه و توکن session، ATLAS LION یکی از دستگاههای خود را برای درخواستهای احراز هویت ثانویه بعدی ثبت میکند که این به طور مؤثری از MFA عبور میکند و به آنها امکان میدهد تا در محیط cloud آسیبدیده یک سازمان حضور داشته باشند. هنگامی که گروه بهحساب یک کارمند نفوذ میکند از طریق شبکه حرکت کرده و به دنبال حسابهای دیگری هستند که به فرایند کسبوکار کارت هدیه مرتبط هستند سپس مهاجمین از این حسابهای کاربری آسیبدیده برای سرقت بیشتر رمزهای SSH، کلیدها و اطلاعات کارمندان استفاده میکنند و در نهایت مهاجمین سیستمهای صدور کارتهای هدیه را پیدا کرده و به طور تقلبی کارتهای هدیه تولید میکنند.کارتهای هدیه هدف جذابی برای کلاهبرداری هستند زیرا برای استفاده از آنها به اطلاعات شناسایی شخصی (PII) کمی نیاز است و انتقال ارزش آنها خارج از سیستمهای بانکی است.
تحلیل صفحات فیشینگ اولیه مرتبط با ATLAS LION چندین مورد جالب را فاش کرد. این کیتها شامل عناصری به زبان فرانسه بودند و اغلب حسابهای آسیبدیده با آدرسهای IP واقع در مراکش قابلدسترس میشدند. دادههای ورودی متوقف شده بهصورت لحظهای استخراج میشدند. از 22 فوریه 2023 تا 6 ژوئن 2024، 222 سایت فیشینگ که احتمالاً با فعالیتهای مهاجمین در ATLAS LION مرتبط بودند شناسایی شده که به کشف صفحات وب اضافی که از همان کیتهای فیشینگ استفاده میکردند منجر شد. این کیتها به گونهای طراحی شده بودند که نامهای کاربری، رمزهای عبور و توکنهای MFA را جمعآوری کنند که مهاجمین سپس از آنها برای دسترسی به زیرساختهای دسکتاپ مجازی (VDI) استفاده میکردند. در حالی که بیشتر کیتها به طور مستقیم از وبسایت Okta منابع را استخراج میکردند مشاهده شد که مهاجمین با انواع مختلفی از کیتها از جمله Gophish آزمایش میکنند. Gophish یک چارچوب Open Source است که برای آزمایش آسیبپذیری یک سازمان در برابر فیشینگ طراحی شده است.
مشاهده شد که تمام کیتهای فیشینگ در زمانهای مختلف در طول سال استفاده شدهاند. به طور معمول کیتهایی که از هفت تم مختلف استفاده میکردند در یک هفته واحد استفاده شدهاند. ATLAS LION به طور مکرر بین کیتهای فیشینگ مختلف تغییر میکند که این تغییرات با تغییر شناسههای منحصربهفرد، الگوهای نام دامنه، مسیرهای URL و استفاده مجدد از زیرساختها مشخص میشود.
از سپتامبر 2023 استفاده مداوم از ارائهدهندگان میزبانی SERVERCENTRAL (ASN23352)، DIALHOST (ASN262448) و ZAM LTDA (ASN42368) توسط ATLAS LION را مشاهده شده که برای ثبت دامنه، مهاجمین اغلب از PDR Ltd. dba PublicDomainRegistry.com، NameCheap Inc. و GoDaddy استفاده میکنند.
مهاجمین ATLAS LION زیرساخت را مجدداً استفاده کرده و چندین کیت را از همان آدرس IP یا دامنه آسیبدیده مستقر میکنند. برای مثال مشاهده شد که آدرس IP مشابه 204.93.224.37 با پنج دامنه مختلف مرتبط است که چهار مورد از آنها همان روز شناسایی شدند. یکی از وبسایتهای آسیبدیده سه ماه بعد با یک کیت دیگر ATLAS LION مرتبط شد که دوباره از یک کیت مختلف استفاده کرده و هدف سازمان دیگری قرار گرفت.
اگرچه عاملان ATLAS LION گاهی دامنههای خود را ثبت میکردند اما عمدتاً از طریق تصرف cPanel دامنههای موجود فعالیت میکردند (cPanel یک نرمافزار مدیریت وبسایت است). مهاجمان ممکن است درصورتیکه اعتبارنامههای cPanel به خطر افتاده باشد بتوانند وبسایتها را تصرف کنند. در تحقیقاتی که در مورد دامنههای احتمالی ATLAS LION انجام شده، در چندین مورد با صفحات ورود به cPanel مواجه شدند که احتمالاً نشاندهنده این است که URL درحالیکه مهاجمان هنوز کیت فیشینگ را مستقر میکردند، اسکن شده است. بسیاری از مهاجمان از مدیریت فایل cPanel برای آپلود فایلهای آرشیو فشرده (zip) که حاوی کیتهای فیشینگ هستند در هنگام راهاندازی استفاده میکنند، علاوه بر این عاملان ATLAS LION به طور مکرر دامنههای بلند و کاملاً تعیینشده (FQDN) را ثبت کردهاند که کلمات کلیدی مرتبط با اهداف خود را شامل میشوند مانند Okta، ServiceNow، SharePoint یا Workday که قبل از دامنه به خطر افتاده قرار میگیرند. این گروه اخیراً کیتهایی را با URL هایی که یک فرمت عمومی مانند victim.servicenow.domain، victim.okta.domain یا ترکیبی از این دو مانند victim.okta.servicenow.domain داشتند مستقر کرده است. «ServiceNow» رایجترین رشته زیر دامنهای بود که در اشکال مختلف از جمله «servicenow»، «service-now و «services-now» ظاهر شد. اغلب مشاهده شد که دامنههای ATLAS LION شامل ساختار پوشهای از URL بودند که با “index.html“ پایان مییافت. بیش از نیمی از دامنههایی که مطالعه شده شامل “index.html“ در انتهای ساختار پوشه بودند و اغلب با “saml2“، “Udlaps”، “ServiceNow”، “oauth2.6“ یا “okta“ همراه بودند.
راه هایی برای کاهش این خطر پذیری
- استفاده از احراز هویت U2F، FIDO2 و MFA
- اعمال حداقل دسترسی
- سیاستهای دسترسی شرطی بر اساس موقعیت مکانی آدرس IP و وضعیت دستگاه
- عدم باز کردن صفحات نامعتبر
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- تشخیص URL های مشکوک
- نظارت بر فعالیتهای غیرمعمول کاربران
- نظارت بر ورودهای مشکوک به سیستم
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Resource Development | Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Credential Access | Discovery | Lateral Movement | Collection | Exfiltration | Impact |
| Acquire Access | Content Injection | Cloud Administration Command | Account Manipulation | Abuse Elevation Control Mechanism | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Account Discovery | Exploitation of Remote Services | Adversary-in-the-Middle | Automated Exfiltration | Account Access Removal |
| Acquire Infrastructure | Drive-by Compromise | Command and Scripting Interpreter | BITS Jobs | Access Token Manipulation | Access Token Manipulation | Brute Force | Application Window Discovery | Internal Spearphishing | Archive Collected Data | Data Transfer Size Limits | Data Destruction |
| Compromise Accounts | Exploit Public-Facing Application | Container Administration Command | Boot or Logon Autostart Execution | Account Manipulation | BITS Jobs | Credentials from Password Stores | Browser Information Discovery | Lateral Tool Transfer | Audio Capture | Exfiltration Over Alternative Protocol | Data Encrypted for Impact |
| Compromise Infrastructure | External Remote Services | Deploy Container | Boot or Logon Initialization Scripts | Boot or Logon Autostart Execution | Build Image on Host | Exploitation for Credential Access | Cloud Infrastructure Discovery | Remote Service Session Hijacking | Automated Collection | Exfiltration Over C2 Channel | Data Manipulation |
| Develop Capabilities | Hardware Additions | Exploitation for Client Execution | Browser Extensions | Boot or Logon Initialization Scripts | Debugger Evasion | Forced Authentication | Cloud Service Dashboard | Remote Services | Browser Session Hijacking | Exfiltration Over Other Network Medium | Defacement |
| Establish Accounts | Phishing | Inter-Process Communication | Compromise Host Software Binary | Create or Modify System Process | Deobfuscate/Decode Files or Information | Forge Web Credentials | Cloud Service Discovery | Replication Through Removable Media | Clipboard Data | Exfiltration Over Physical Medium | Disk Wipe |
| Obtain Capabilities | Replication Through Removable Media | Native API | Create Account | Domain or Tenant Policy Modification | Deploy Container | Input Capture | Cloud Storage Object Discovery | Software Deployment Tools | Data from Cloud Storage | Exfiltration Over Web Service | Endpoint Denial of Service |
| Stage Capabilities | Supply Chain Compromise | Scheduled Task/Job | Create or Modify System Process | Escape to Host | Direct Volume Access | Modify Authentication Process | Container and Resource Discovery | Taint Shared Content | Data from Configuration Repository | Scheduled Transfer | Financial Theft |
| Trusted Relationship | Serverless Execution | Event Triggered Execution | Event Triggered Execution | Domain or Tenant Policy Modification | Multi-Factor Authentication Interception | Debugger Evasion | Use Alternate Authentication Material | Data from Information Repositories | Transfer Data to Cloud Account | Firmware Corruption | |
| Valid Accounts | Shared Modules | External Remote Services | Exploitation for Privilege Escalation | Execution Guardrails | Multi-Factor Authentication Request Generation | Device Driver Discovery | Data from Local System | Inhibit System Recovery | |||
| Software Deployment Tools | Hijack Execution Flow | Hijack Execution Flow | Exploitation for Defense Evasion | Network Sniffing | Domain Trust Discovery | Data from Network Shared Drive | Network Denial of Service | ||||
| System Services | Implant Internal Image | Process Injection | File and Directory Permissions Modification | OS Credential Dumping | File and Directory Discovery | Data from Removable Media | Resource Hijacking | ||||
| User Execution | Modify Authentication Process | Scheduled Task/Job | Hide Artifacts | Steal Application Access Token | Group Policy Discovery | Data Staged | Service Stop | ||||
| Windows Management Instrumentation | Office Application Startup | Valid Accounts | Hijack Execution Flow | Steal or Forge Authentication Certificates | Log Enumeration | Email Collection | System Shutdown/Reboot | ||||
| Power Settings | Impair Defenses | Steal or Forge Kerberos Tickets | Network Service Discovery | Input Capture | |||||||
| Pre-OS Boot | Impersonation | Steal Web Session Cookie | Network Share Discovery | Screen Capture | |||||||
| Scheduled Task/Job | Indicator Removal | Unsecured Credentials | Network Sniffing | Video Capture | |||||||
| Server Software Component | Indirect Command Execution | Password Policy Discovery | |||||||||
| Traffic Signaling | Masquerading | Peripheral Device Discovery | |||||||||
| Valid Accounts | Modify Authentication Process | Permission Groups Discovery | |||||||||
| Modify Cloud Compute Infrastructure | Process Discovery | ||||||||||
| Modify Registry | Query Registry | ||||||||||
| Modify System Image | Remote System Discovery | ||||||||||
| Network Boundary Bridging | Software Discovery | ||||||||||
| Obfuscated Files or Information | System Information Discovery | ||||||||||
| Plist File Modification | System Location Discovery | ||||||||||
| Pre-OS Boot | System Network Configuration Discovery | ||||||||||
| Process Injection | System Network Connections Discovery | ||||||||||
| Reflective Code Loading | System Owner/User Discovery | ||||||||||
| Rogue Domain Controller | System Service Discovery | ||||||||||
| Rootkit | System Time Discovery | ||||||||||
| Subvert Trust Controls | Virtualization/Sandbox Evasion | ||||||||||
| System Binary Proxy Execution | |||||||||||
| System Script Proxy Execution | |||||||||||
| Template Injection | |||||||||||
| Traffic Signaling | |||||||||||
| Trusted Developer Utilities Proxy Execution | |||||||||||
| Unused/Unsupported Cloud Regions | |||||||||||
| Use Alternate Authentication Material | |||||||||||
| Valid Accounts | |||||||||||
| Virtualization/Sandbox Evasion | |||||||||||
| Weaken Encryption | |||||||||||
| XSL Script Processing |