Mimecast Logo
Richiedi un preventivo

    Spoofing aperto

    12 febbraio 2025

    A cura del Mimecast Threat Research Team

    Punti principali

    Cosa imparerai in questa notifica

    • TO3028 è un sofisticato attore di minacce noto per sfruttare le vulnerabilità dei moderni sistemi di sicurezza per condurre campagne ad alto impatto.
    • Le recenti campagne sfruttano l'infrastruttura degli ISP con autenticazione debole per falsificare marchi affidabili e distribuire email di phishing su larga scala.
    • L'obiettivo principale è il furto di credenziali, che consente la sorveglianza, la frode e ulteriori attacchi mirati contro le vittime.

    Flusso della campagna

    Open-Spoofing-flow.jpg

    TO3028 in sintesi

    TO3028 è un attore di minacce altamente organizzato e sofisticato, che Mimecast ha riconosciuto per la sua capacità di sviluppare e implementare tecniche di consegna avanzate sfruttando le vulnerabilità dei moderni sistemi di sicurezza. Operando con precisione e persistenza, questo gruppo ha una profonda comprensione dei protocolli email, dei meccanismi di autenticazione e delle complessità dell'infrastruttura di sicurezza basata sul cloud.

    Le loro campagne sono pianificate utilizzando test sistematici e competenze specializzate per superare le difese e raggiungere i loro obiettivi. Le operazioni del gruppo si sono evolute nel corso di anni di attività sostenuta, dimostrando un livello di professionalità che pareggia quello delle aziende legittime.

    Ciò che distingue TO3028 è la loro intraprendenza e adattabilità. Probabilmente impiegando team specializzati per lo sviluppo, il testing e la distribuzione dell'infrastruttura, dimostrano una capacità ineguagliabile di sfruttare le vulnerabilità dei sistemi di posta elettronica a livello globale. Le loro campagne, spesso focalizzate sulla raccolta delle credenziali, utilizzano tattiche di distribuzione ad alto volume abbinate a numerose esche di phishing, progettate per ingannare gli utenti finali. Con un focus strategico sull'elusione del rilevamento e sul mantenimento dell'accesso persistente a sistemi compromessi, TO3028 continua a rappresentare una sfida significativa.

    Sfruttamento innovativo dei servizi email degli ISP

    Le ultime campagne di TO3028 si concentrano sull'abuso strategico dei servizi email degli ISP tramite router compromessi dei consumatori. Il processo comporta:

    1. Compromissione del router: gli aggressori prendono di mira i router dei clienti dell'ISP, sfruttando vulnerabilità note o credenziali predefinite deboli. Stabiliscono il controllo per configurare questi router come proxy.
    2. Configurazione del server proxy: il router compromesso è configurato come server proxy, dirigendo tutto il traffico internet proveniente dai dispositivi connessi attraverso di esso.
    3. Distribuzione dello spam tramite i server di posta elettronica dell'ISP: il router compromesso inoltra le email di spam attraverso i server di posta elettronica dell'ISP, utilizzando l'indirizzo IP del router come origine.

    L'uso dei servizi di posta elettronica ISP da parte di TO3028 offre diversi vantaggi per la distribuzione dello spam:

    Infrastruttura di origine mascherata: la connessione proxy nasconde l'infrastruttura dell'aggressore ai servizi di scansione dello spam. Gli ISP spesso gestiscono passivamente i loro servizi di posta elettronica gratuiti, permettendo agli aggressori di mantenere le capacità di spamming senza dover cambiare frequentemente l'infrastruttura.

    Spoofing illimitato del mittente: molti servizi anti-spam si basano sulla reputazione del mittente. Senza l'autenticazione del mittente, gli aggressori possono modificare le informazioni del mittente per eludere questi controlli senza la necessità di nuove credenziali compromesse.

    Scansione anti-spam in uscita rilassata: la maggior parte dei servizi di posta degli ISP dispone di controlli di sicurezza di base e manca di controlli anti-spam robusti, spostando l'attenzione dell'aggressore sulla recapitabilità in entrata dei loro bersagli.
    Disponibilità: la frequente integrazione di nuovi servizi di posta ISP nell'ecosistema dello spam suggerisce che l'aggressore ha metodi prontamente disponibili per sfruttare questi servizi. Sembra che molti ISP utilizzino Zimbra o Magicmail.

    Tassi di invio elevati: la mancanza di autenticazione spesso porta a tassi di invio di email non controllati, permettendo campagne su larga scala in brevi periodi di tempo.

    Open-Spoofing-1.png

    Nell'ambito delle recenti campagne, abbiamo osservato che il modello sopra menzionato viene utilizzato da TO3028, che ha testato e distribuito email di phishing attraverso l'infrastruttura di un importante ISP canadese, Distributel (una società Bell). Hanno sviluppato tecniche per inoltrare grandi volumi di traffico email attraverso i Mail Transfer Agents (MTA) dell'ISP senza richiedere credenziali di autenticazione. Questo abuso non è limitato ai domini di proprietà di Distributel, ma si estende allo spoofing di marchi noti come BBC e CNN, oltre che ai domini dei clienti. Queste campagne sono principalmente focalizzate su attacchi di phishing per raccogliere credenziali. Le credenziali rubate vengono poi utilizzate per la sorveglianza dei bersagli e l'esecuzione di operazioni fraudolente.

    Questo uso deliberato del dominio della BBC, insieme ai riferimenti a Docusign, è progettato per costruire credibilità e superare i sospetti. La campagna di phishing sfrutta sempre marchi ben riconosciuti per ingannare il destinatario a cliccare su un link dannoso etichettato "VISUALIZZA DOCUMENTO".

    Sebbene l'URL incorporato punti a Docusign, ha più reindirizzamenti che alla fine raggiungono una destinazione dannosa ospitata su canadacentral-01.azurewebsites[.]net.

    Le osservazioni principali includono:

    1. Domini legittimi per il reindirizzamento:
      • L'uso di federation.nih.gov e www.applyweb.com come parte della catena di reindirizzamento fortemente offuscata dà l'illusione di legittimità.
    2. Destinazione finale dannosa:
      • L'URL si risolve in hxxps://filedocx-ejd6bncpcjhtdtgd.canadacentral-01.azurewebsites[.]net, ospitato sull'infrastruttura Azure di Microsoft.
      • Questa destinazione è progettata per presentare un falso portale DocuSign o una pagina di raccolta delle credenziali, dove le vittime inserirebbero informazioni di accesso sensibili.
    3. Tecniche di offuscamento:
      • La catena di reindirizzamento utilizza una serie di domini legittimi per nascondere il vero intento dannoso del link, una tecnica comunemente usata dalla codifica degli URL, e le lunghe query string rendono difficile il riconoscimento della minaccia ai filtri email e agli utenti occasionali.

    Le operazioni di TO3028 rivelano difetti sistemici nei sistemi di posta elettronica gestiti dagli ISP e mettono in evidenza i rischi di un'autenticazione debole e di un monitoraggio insufficiente. La loro capacità di adattarsi e integrare nuovi strumenti e piattaforme garantisce il loro continuo successo, sottolineando la necessità di politiche di autenticazione robuste, di un monitoraggio proattivo e di pratiche di sicurezza migliorate in tutto l'ecosistema di posta elettronica. Questa campagna evidenzia la crescente sofisticazione di TO3028 e il loro incessante perseguimento delle vulnerabilità nella sicurezza delle email.

    Attività della campagna osservata

    L'attività legata all'abuso delle infrastrutture ISP evidenzia un aumento graduale fino alla metà del 2024, seguito da un forte aumento a novembre e un picco drammatico a dicembre. Questo modello suggerisce una strategia deliberata di testing e scalabilità:

    • Metà del 2024: probabile test della loro metodologia, con attività a basso volume progettate per perfezionare le tattiche.
    • Novembre–dicembre 2024: uso su vasta scala, in concomitanza con l'integrazione di nuovi servizi ISP nel loro ecosistema di spam.

    Open-Spoofing-2.png

    Questa attività evidenzia la capacità di TO3028 di adattare i propri metodi e di scalare sistematicamente le loro operazioni per massimizzare l'impatto.

    Tattiche, tecniche e procedure

    T1204.001 - esecuzione da parte dell'utente: link dannoso
    T1566.002 - phishing: link di spear phishing
    T1598.002 - phishing per informazioni
    T1090 - proxy: compromissione dei router dei consumatori per l'inoltro delle email
    T1586.001 - compromissione account: account email
    T1608.003 - impostazione di funzionalità: installazione di contenuti web dannosi
    T1070.004 - rimozione dell'indicatore sull'host: esfiltrazione automatica dello spam

    Protezione Mimecast

    Abbiamo identificato diversi elementi nelle campagne recenti che sono stati aggiunti alle nostre capacità di rilevamento. Continuiamo a monitorare i test e gli aggiornamenti effettuati da TO3028 per garantire che i nostri clienti siano protetti.

    Obiettivi:

    Globale, tutti i settori

    Le campagne variabili di questo attore di minacce spesso non mostrano indicatori di compromissione correlati a causa dell'uso di tecniche ed esche diverse, risultando in vettori di attacco distinti.

    Indicatori di compromissione

    Indirizzi mittenti

    • donotreply@teksavvy[.]ca
    • payoff@hysharma[.]com
    • donotreply@cogeco[.]ca
    • webmaster@a1[.]net
    • noreply@videotron[.]com
    • donotreply@distributel[.]net
    • webmaster@socket[.]net

    Oggetti:

    • Rendiconti finanziari per Q: Presentazione e approfondimenti
    • Salve, documento della lettera di saldo allegato**
    • Report Bonus Q3 - Commissioni Finali - Settembre 2024
    • Iscriviti ora: l'iscrizione ai benefici 2024 è ora aperta

    Raccomandazioni

    • Controlla i registri delle ricevute delle email per verificare se gli indicatori di compromissione sono stati recapitati ai tuoi utenti.
    • Informa gli utenti finali del costante utilizzo di strumenti legittimi in campagne dannose.
    Back to Top