LinkedIn Umleitungsmissbrauch

Jun. 10, 2024

Einführung

Bedrohungsakteure missbrauchen weiterhin eine Weiterleitung, die über LinkedIn generiert werden kann und potenzielle Opfer dazu verleitet, auf eine bösartige Webseite zu klicken, um Anmeldedaten zu stehlen.

Die Weiterleitungen werden von öffentlich zugänglichen Seiten auf LinkedIn für persönliche oder Unternehmensprofile generiert. Diese Profile enthalten einen Abschnitt mit einem Link zu einer externen Website, der als von LinkedIn generierte Umleitungs-URL abgerufen werden kann. Mit dieser Technik können Bedrohungsakteure Sicherheitsmaßnahmen zum Schutz vor bösartigen URLs umgehen und eine E-Mail in den Posteingang von ahnungslosen Opfern einschleusen.

Kampagnen

Im März und April 2024 wurden an zwei Tagen zwei große Kampagnen durchgeführt, die ein ähnliches Thema aufgriffen: die Benachrichtigung des Empfängers, dass er eine neue Audionachricht erhalten hat, mit einem Link, den er anklicken kann, um sie anzuhören.

Betreff:1Nachricht von Anrufer erhalten

Thema:INTEL NEW

Die Analyse der Kopfzeilen der E-Mail zeigt, dass sie von einem Amazon SES-Konto gesendet wurde, das wahrscheinlich von dem Bedrohungsakteur kompromittiert wurde. Der Vorteil, den ein Bedrohungsakteur aus der Kompromittierung eines SES-Kontos zieht, besteht darin, dass er bösartige E-Mails von einer vertrauenswürdigen Quelle aus versenden kann, bei der die regulären Sicherheitsvorkehrungen wie SPF, DKIM und DMARC höchstwahrscheinlich greifen.

Umleitung

Nachfolgend finden Sie ein Beispiel für eine LinkedIn-URL-Weiterleitung aus der zweiten Kampagne.

hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Diese LinkedIn-Weiterleitung ist keine offene Weiterleitung, d. h. sie kann nicht missbraucht werden, indem einfach der Abschnitt der URL-Abfrage ersetzt wird, der das Weiterleitungsziel enthält. Dies bedeutet, dass der Bedrohungsakteur die URL von LinkedIn aus generieren musste. Der Bedrohungsakteur erzeugte diese Umleitung wahrscheinlich, indem er über LinkedIn ein öffentliches Profil erstellte und diesem dann Abschnitte hinzufügte, die einen Link zu einer externen Ressource enthielten. Ein Bedrohungsakteur kann dann die von LinkedIn generierte Weiterleitung kopieren und in eine E-Mail-Kampagne einfügen.

Weiterleitungskette
Ein Blick auf einen der LinkedIn Redirect-Links aus einer der oben genannten Kampagnen...

URL-Format:
hxxps://www.linkedin[.]com/redir/redirect?url=https%3A%2F%2Flookerstudio%2Egoogle%2Ecom%2Fs%2FscrHqwjeA3k&urlhash=dcQj&trk=public_profile-settings_topcard-website

Landing Page
hxxps://lookerstudio.google[.]com/reporting/ce8908e1-d4e1-46d1-9087-7b8dc3e8dd6f/page/67CrD?s=scrHqwjeA3k

Captcha

Der Bedrohungsakteur hat ein Cloudflare-Captcha in eine der Umleitungs-URLs eingefügt, um es Sicherheitstools zu erschweren, den Link zu scannen und festzustellen, ob die endgültige URL, zu der er umgeleitet wird, bösartig ist.

hxxps://okc.palledon[.]com/?unkbjkwn=0aae36c6e061aa3f26cbcc34c062b75b18a753529a21b5df81391f2085dc3140ab0c7064a0c6b7ff5bf35f00be826d862bbb107de90164655f78f7ddf91fc468

Seite zur Erfassung von Anmeldeinformationen

Endgültige Phishing-Seite, die sich als Microsoft Online ausgibt, um Benutzeranmeldedaten zu erfassen und zu stehlen.

hxxps://index.keltinag[.]com/?ay14c1s87=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

Die Dekodierung der base64-Abfragezeichenfolge am Ende der URL der Anmeldeinformationserfassungsseite ergibt folgendes Ergebnis:
hxxps://login.microsoftonline[.]com/common/oauth2/authorize?client_id=00000002-0000-0ff1-ce00-000000000000&redirect_uri=hxxps://outlook.office[.]com/owa/&resource=00000002-0000-0ff1-ce00-000000000000&response_mode=form_post&response_type=code id_token&scope=openid&msafed=1&msaredir=1&client-request-id=c1ce9da1-6c59-d48f-b4cf-f6bf36d81ae6&protectedtoken=true&claims={"id_token":{"xms_cc":{"values":["CP1"]}}}&nonce=638519004680601011.5f70bd1f-9ad9-4793-bfbe-91b750cae2d6&state=DctBFoAgCABRrNdxSMgEOY6kblt2_Vj82U0CgD1sIVEEVEqrbES3NBJiYj7rUvLBC60Pw1utoC-faOxa6enzGpLiPfL79fwD

Dies ist eine gängige Technik, die von Bedrohungsakteuren für Phishing-Seiten mit Anmeldeinformationen verwendet wird. Das Opfer gibt seine Anmeldedaten ein und erhält dann eine gefälschte Meldung über einen Anmeldefehler. Sie werden dann auf die legitime Anmeldeseite umgeleitet. Das Opfer wird denken, dass es beim ersten Mal nur seine Anmeldedaten falsch eingegeben hat und es auf der legitimen Anmeldeseite erneut versuchen.

Angriffsmuster

Angesichts der Komplexität der Infrastruktur, die zum Diebstahl von Zugangsdaten verwendet wird, ist es wahrscheinlich, dass der Bedrohungsakteur ein bekanntes Phishkit oder ein Phishing-as-a-Service-Tool (PhaaS) verwendet hat, das eine einsatzbereite Infrastruktur bereitstellt, die vom Eigentümer des Dienstes gepflegt wird.

Hier ist eine Zusammenfassung der Angriffsmuster, die für diese Kampagnen verwendet wurden:

• Infrastruktur geschaffen
• Mehrere Domains, die registriert sind, um einige der Stufen der Umleitungskette zu hosten, einschließlich der Cloudflare-Captcha-Seite und der endgültigen Phishing-Seite für die Anmeldedaten
• Missbrauch von Webdiensten
• Google Looker Studio als Host für die erste Landing Page
• Cloudflare Captcha zum Umgehen von URL-Scannern
• Missbrauch von Instrumenten der sozialen Medien
• Erstellung einer öffentlich zugänglichen LinkedIn-Seite. Wahrscheinlich ein Unternehmensprofil mit einem externen Link zur ersten Landing Page in Looker Studio
• E-Mail-Konten kompromittiert
• Amazon SES-Konten wurden kompromittiert, um bösartige E-Mails zu verbreiten, die eine LinkedIn-Umleitung von

Taktik, Techniken und Verfahren

• T1586.002 - Kompromittierte Konten E-Mail-Konten
• Bedrohungsakteur kompromittierte Amazon SES-Konten, um bösartige E-Mails zu verbreiten
• T1583 - Erwerb von Infrastruktur
• Domains, die zum Hosten von Cloudflare Captcha- und Anmeldedaten-Phishing-Seiten registriert sind (wahrscheinlich durch ein Phishkit oder PhaaS-Tool)
• T1583.006 - Erwerben Sie Infrastruktur: Webdienste
• Der Bedrohungsakteur verwendete Google Looker Studio, um eine Landing Page für die LinkedIn-Umleitung zu erstellen
• Über LinkedIn generierte Umleitung
• T1566.002 - Phishing: Spearphishing-Link
• E-Mails mit bösartiger LinkedIn-Umleitung verteilt