freeBuf
W3LL钓鱼工具包绕过MFA并劫持8000+微软365帐户
2023-09-27 13:52:46

近期一个名为W3LL的攻击者开发了一个网络钓鱼工具包,该工具包可以绕过多因素身份验证以及其他工具,危害了8000多个Microsoft 365公司帐户。

在过去十个月内,安全研究人员发现W3LL的实用程序和基础设施被用来设置大约850个网络钓鱼,这些网络钓鱼针对56000多个Microsoft 365帐户的凭证。

发展业务

W3LL的定制网络钓鱼工具为至少500名攻击者提供服务,被用于商业邮件欺诈(BEC)攻击,造成数百万美元的经济损失。

研究人员表示,W3LL的库存几乎涵盖了BEC行动的整个杀伤链,可以由“各种技术水平的攻击者”去进行操作。

最新报告提供了有关W3LL的详细信息,以及它是如何成长为BEC团伙最先进的恶意开发者之一的。

W3LL活动的第一个证据是在2017年,当时开发人员开始提供一个名为W3LL SMTP Sender的自定义批量邮件发送工具,该工具被用于发送垃圾邮件。

当该公司开始销售一款针对Microsoft 365公司账户的定制网络钓鱼工具包时,W3LL的知名度和业务开始增长。

2018年,W3LL推出了W3LL商店,向封闭的攻击者社区推出和销售工具。

W3LL的主要武器W3LL面板可以被视为同类产品中最先进的钓鱼套件之一,具有中间层的对抗功能、API、源代码保护和其他独特功能

W3LL武器库用于BEC攻击

除了W3LL Panel,被设计为绕过多因素身份验证(MFA),攻击者还提供了16个工具,所有这些工具都为BEC攻击做好了准备。目录包括:

  • SMTP senders PunnySender and W3LL Sender
  • The malicious link stager W3LL Redirect
  • A vulnerability scanner called OKELO
  • An automated account discovery utility named CONTOOL
  • An email validator called LOMPAT

根据报告中的说法,W3LL Store提供了部署BEC攻击的解决方案,从挑选受害者、使用武器化附件(默认或自定义)的网络钓鱼诱饵的初始阶段,到启动进入受害者收件箱的网络钓鱼邮件。

研究人员表示,W3LL有足够的技能,可以通过在受损的网络服务器和服务上部署和托管工具来保护其工具不被检测或拆除。

然而,客户也可以选择使用W3LL的OKELO扫描仪来查找易受攻击的系统,并自行访问这些系统。

使用W3LL工具的BEC攻击杀伤链

绕过筛选器和安全代理

W3LL用来绕过邮件网关和安全代理的一些技术包括对邮件标题和文本主体(Punycode、HTML标签、图像、与远程内容的链接)的各种模糊处理方法。

最初的网络钓鱼链接也使用多种逃避检测的方法提供。一种是通过钓鱼附件,而不是将其嵌入邮件正文中。

研究人员发现,链接被放在一个HTML文件中,作为附件。当受害者打开恶意HTML(可能伪装成文档或语音消息)时,浏览器窗口会打开一个“看起来真实的MS Outlook动画”

这是W3LL面板网络钓鱼页面,可用于收集Microsoft 365帐户凭证。

在分析了一个真实的W3LL网络钓鱼附件后,报告中说到它是一个HTML文件,在iframe中通过base64编码混淆JavaScript来显示网站。

在野外观察到W3LL钓鱼附件

在6月底更新的新版本中,W3LL添加了多层模糊处理和编码。它直接从W3LL面板加载脚本,而不是将其包含在HTML代码中。

最近的版本的事件链如下所示:

更新的W3LL网络钓鱼附件

劫持Microsoft 365公司帐户

研究人员解释说,网络钓鱼诱饵中的初始链接不会导致W3LL面板中的虚假Microsoft 365登录页面,它只是重定向链的开始,只是在防止发现W3LL面板的网络钓鱼页面。

对于W3LL危害Microsoft 365帐户,它使用对手/中间人(AitM/MitM)技术,受害者和Microsoft服务器之间的通信通过W3LL面板和充当后端系统的W3LL商店。

目标是获取受害者的身份验证会话cookie。要做到这一点,W3LL面板需要经过几个步骤,其中包括:

  • 通过CAPTCHA验证
  • 设置正确的虚假登录页面
  • 验证受害者的帐户
  • 获取目标组织的品牌标识
  • 获取登录过程的Cookie
  • 识别帐户类型
  • 验证密码
  • 获取一次性密码(OTP)
  • 获取经过身份验证的会话cookie

W3LL面板获取身份验证会话cookie后,帐户会被泄露,并向受害者显示一份PDF文档,以使登录请求看起来合法。

帐户发现阶段

使用CONTOOL,攻击者可以自动查找受害者使用的邮件、电话号码、附件、文档或URL,这可能有助于横向移动阶段。

该工具还可以监控、过滤和修改收到的邮件,以及在Telegram帐户中接收基于特定关键字的通知。

此类攻击的典型结果是:

  • 数据盗窃
  • 使用攻击者的付款信息伪造发票
  • 冒充专业服务向客户发送欺诈性付款请求
  • 典型的BEC欺诈-接触高管并代表他们指示员工进行电汇或购买商品
  • 分发恶意软件

盈利和价格

在研究了W3LL面板的功能后,从技术层面描述了一些功能是如何实现预期目标的,无论是逃避检测还是收集数据。

W3LL Panel是开发商的皇冠明珠产品,三个月售价500美元,每月续订价格150美元。激活它的许可证也必须购买。

以下是套件和管理面板的购买页面:

W3LL存储和W3LL面板管理

这位W3LL攻击者已经存在了大约五年,积累了500多名网络攻击者的客户群,他们的商店里有12000多种商品可供选择。

除了网络钓鱼和BEC相关工具外,W3LL还提供对受损Web服务(Web shell、邮件、内容管理系统)、SSH和RDP服务器、托管和云服务帐户、商业邮件域和被劫持邮件帐户的访问。

在2022年10月至2023年7月期间,W3LL售出了3800多件商品,估计营业额超过50万美元。

近年来网络犯罪逐渐产业化,W3LL这一类团伙所提供的犯罪软件也逐渐saas化,意味着对于越来越多的攻击者来说,网络攻击的门槛在降低,即便是初级的脚本小子也能够通过购买这些攻击服务而获得强大的攻击能力。

越来越多的攻击者进场,也意味着没有任何一家企业应当抱有侥幸心理,自身防御体系效果的验证和防御短板的发现及补救,更是迫在眉睫。

推荐阅读

警告!思科设备零日漏洞被勒索软件团伙利用

直播回顾 | 持续安全有效性验证专题研讨会

公众号:塞讯验证

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录