แคมเปญ ONNX Store phishing มุ่งเป้าการโจมตีไปยังบัญชี Microsoft 365 ของบริษัททางด้านการเงิน

 

พบแคมเปญ phishing-as-a-service (PhaaS) platform ใหม่ในชื่อ ONNX Store ได้กำหนดเป้าหมายการโจมตีไปยังบัญชี Microsoft 365 สำหรับพนักงานในบริษัททางด้านการเงิน โดยใช้ QR code ในไฟล์แนบ PDF

แคมเปญ ONNX Store ได้กำหนดเป้าหมายการโจมตีทั้งบัญชีอีเมล Microsoft 365 และ Office 365 โดยทำงานผ่าน Telegram bots และมีความสามารถในการหลีกเลี่ยงการยืนยันตัวตนหลายขั้นตอน (MFA bypass) ซึ่งนักวิจัยจาก EclecticIQ ผู้ที่พบแคมเปญดังกล่าวเชื่อว่า ONNX เป็นเวอร์ชัน rebrand ของ the Caffeine phishing kit ที่ถูกใช้โดย MRxC0DER ซึ่งเป็นกลุ่ม Hacker ชาวอาหรับ โดย Mandiant พบ Caffeine phishing ในเดือนตุลาคม 2022 โดยมีเป้าหมายการโจมตีไปยังรัสเซีย และจีน

การโจมตีของแคมเปญ ONNX Store

EclecticIQ พบการโจมตีของแคมเปญ ONNX Store ในเดือนกุมภาพันธ์ 2024 โดยเผยแพร่ phishing email พร้อมไฟล์แนบ PDF ที่มี QR code ที่เป็นอันตราย ซึ่งกำหนดเป้าหมายไปที่พนักงานธนาคาร, ผู้ให้บริการสหภาพเครดิต และบริษัทเงินทุนเอกชน

โดยเนื้อหาใน phishing email จะทำการแอบอ้างเป็นแผนกทรัพยากรบุคคล (HR) โดยใช้การอัปเดตเงินเดือนเป็นสิ่งล่อใจเพื่อให้เปิดไฟล์ PDF ซึ่งปลอมแปลงธีมเป็น Adobe หรือ Microsoft

เมื่อเหยื่อทำการสแกน QR code บนอุปกรณ์ ก็จะนำเหยื่อไปยัง phishing page ที่เลียนแบบ Microsoft 365 login interface

หลังจากนั้นเหยื่อจะได้รับการแจ้งให้กรอกข้อมูล credentials และ 2FA token บนหน้า login page ปลอม และทำการบันทึกรายละเอียดเหล่านี้แบบเรียลไทม์

ข้อมูล credentials และ 2FA token ที่ถูกขโมยไป จะถูกส่งต่อไปยัง Hacker ทันทีผ่าน WebSockets ทำให้สามารถขโมยบัญชีของเป้าหมายก่อนที่การยืนยันตัวตน และ MFA-validated token จะหมดอายุ

 

สุดท้าย Hacker จะทำการเข้าถึงบัญชีอีเมลที่โจมตีเพื่อขโมยข้อมูลที่มีความสำคัญ เช่น อีเมล และเอกสาร หรือขายข้อมูล credentials บน dark web เพื่อใช้ในการโจมตีของมัลแวร์ และแรนซัมแวร์ต่อไป

ONNX Store Phishing Platform

ทั้งนี้จากมุมมองของกลุ่ม Hacker ที่ใช้บริการ ONNX Store ถือว่าเป็นแพลตฟอร์มที่มีความน่าสนใจ และคุ้มค่า โดยศูนย์กลางของการดำเนินการอยู่ที่ Telegram ซึ่ง bot จะช่วยให้ผู้ใช้สามารถดำเนินการ phishing ผ่านอินเทอร์เฟซที่ใช้งานง่าย นอกจากนี้ยังมีช่องทางการสนับสนุนโดยเฉพาะเพื่อช่วยเหลือผู้ใช้งานในกรณีที่พบปัญหา

Microsoft Office 365 phishing templates สามารถปรับแต่งได้ รวมถึง webmail service สำหรับการส่ง phishing emails ไปยังเป้าหมาย

ONNX Store Phishing ยังใช้ JavaScript code ที่เข้ารหัส ซึ่งจะถอดรหัสตัวเองระหว่างการโหลดหน้าเว็บ เพื่อสร้างความสับสนเพื่อหลบเลี่ยงการตรวจจับด้วย anti-phishing tools และ scanners

นอกจากนี้ ONNX ยังใช้บริการ Cloudflare เพื่อป้องกันไม่ให้ phishing domain ถูก takedowns รวมถึง anti-bot CAPTCHA และ IP proxying

นอกจากนี้ยังมี bulletproof hosting service เพื่อให้การดำเนินงานจะไม่ถูกขัดจังหวะด้วยการ takedowns เช่นเดียวกัน รวมถึง remote desktop protocol (RDP) services สำหรับการจัดการแคมเปญอย่างปลอดภัย

ONNX มีการสมัครสมาชิก 4 ระดับโดยสรุปความสามารถดังนี้ :

Webmail Normal ($150/เดือน) : สามารถปรับแต่งข้อความได้, การทำ password loop, Telegram ID integration, การ custom redirect links และดึงโลโก้ของ domain เป้าหมายที่กำหนดโดยอัตโนมัติ

Office Normal ($200/เดือน) : การทำ true login, one-time passwords, การทำ country blocking, การทำ custom page titles, การทำ password loops, การทำ Telegram integration, และการทำ custom logo

Office Redirect ($200/เดือน) : มี wildcard links, ทำการซ่อน inbox links, การทำ custom page titles, สร้าง dynamic codes, และมีการรับอีเมลอัตโนมัติสำหรับการเปลี่ยนเส้นทางทำ 2FA
**

Office 2FA Cookie Stealer ($400/เดือน) : การทำ Captures 2FA cookies, รองรับการทำ 2FA แบบออฟไลน์, การทำ custom page titles, การทำ Telegram integration, สร้าง dynamic codes, และการทำ link statistics

 

 

แนวทางการป้องกัน

เพื่อป้องกันการโจมตีแบบ phishing attack แนะนำให้ผู้ดูแลระบบทำการบล็อกไฟล์แนบ PDF และ HTML จากแหล่งที่ไม่ได้รับการยืนยัน ทำการบล็อกการเข้าถึง HTTPS websites ด้วย certificates ที่ไม่น่าเชื่อถือ หรือหมดอายุ และตั้งค่าคีย์ความปลอดภัยด้วย FIDO2 hardware สำหรับบัญชีที่ได้รับสิทธิ์ และมีความเสี่ยงสูง

ที่มา : bleepingcomputer