SideWinderは、偽のChrome PDFビューアーとCloudflare Workers上のピクセルパーフェクトなZimbraクローンを使用して、バングラデシュ海軍やパキスタン外務省を含む南アジアのターゲットから政府ウェブメール認証情報を盗む、アクティブな認証情報収集キャンペーンを展開しています。
このキャンペーンは、バングラデシュ海軍のZimbraウェブメールポータルmail.navy.mil.bdの認証情報を収集していたCloudflare Workers URLが発見された後に明らかになり、正当なインターフェイスに非常に近い洗練されたフィッシングキットが露出しました。
攻撃者はworkers.devに直接キットをホストしており、これはSideWinderが他のオペレーションで低コストのクラウドおよび開発者プラットフォームを悪用して、通常のトラフィックに紛れ込むというパターンで既に観察されています。
キットは内部的に「Z2FA_LTS」と自認しており、SideWinderが複数のキャンペーンにわたって再利用できる、長期的な2要素認証対応Zimbraフィッシングフレームワークを示唆しています。
研究者は、期待されたフォームボディなしでPOSTリクエストを発行してハンドルされていないエラーをトリガーし、Worker上のExpress.jsアプリがスタックトレースをスローして内部ファイルシステムパスが漏洩しました。
トレースは開発者のLinuxホームディレクトリ/home/moincox/およびプロジェクトフォルダZ2FA_LTS、ならびにメインエントリーポイントapp.jsと被害者認証情報処理と「管理者」インターフェイスの両方の正確なハンドラー行を明らかにしました。
/admin/loginでの2番目のエラーは同じコードベースを確認し、管理ロジックのおおよその位置を開示しました。ただし、スケアページの背後に実際の認証層は露出していません。
偽のChrome PDFビューアーとZimbra
攻撃チェーンは、PDF.jsを使用し、https://mail.navy.mil.bd/でホストされている公式PDFのように見えるものを表示する偽のChrome PDFビューアーで始まり、信頼を強化するための実際のファビコンが付属しています。
表示されるドキュメントは意図的にぼやけており、部分的に不透明であり、被害者に「PDFを再度読み込む」をクリックするか、キットのZimbraブランド部分につながる自動リダイレクトを待つように促します。
そこから、Zimbra「読み込み中…」スプラッシュスクリーンは実際のmail.navy.mil.bdサーバーから本物のCSSを取得してから、ユーザーを攻撃者のWorkerドメインから完全に配信されるクローンされたHarmonyスキンログインフォームに静かに転送します。
認証情報ハーベスターはZimbraアセットをリバースプロキシし、スクリプトを注入してエラーバナーを表示し続け、サブミット後にユーザー名フィールドを事前入力して、被害者がパスワードを再試行するよう促します。
フローの開始時のぼやけたPDFは一般的な囮ではなく、イスタンブールのIPU総会のホテル予約と9人の指名された当局者をリストした本物のパキスタン外交文書です。
そのメタデータはトルコのタイムゾーンでの作成を指し、公式政府通信と一致する内部参照番号と財務詳細を反映しています。
SideWinderは既に、1つの被害者セットから流出した情報を使用して、同じ地政学的領域内で別の被害者をフィッシングするために、盗まれたドキュメントを高度にカスタマイズされた誘い文句として再利用することで知られています。
マルチターゲット、マルチプラットフォームインフラストラクチャ
URLインデックスと受動的なDNSを使用して、分析者は3か月のウィンドウにわたって同じツールキットとオペレータに関連付けられた少なくとも7つの異なるCloudflare Workersをトレースし、バングラデシュ海軍、パキスタン外務省、地域のテレコム、さらにはiCloudユーザーを指しています。
同じZimbraクローン作成プレイブック、Express.jsバックエンド、ぼやけたPDFビューア、および長いランダムなクエリパラメータが2つのWorkers アカウント(「girlfriendparty42」および「malik-jaani786」)および複数のPaaSプロバイダーにわたって出現し、持続的でモジュール化された認証情報収集オペレーションを示しています。
複数の独立した研究チームからの公開レポートは、このインフラストラクチャ、ターゲットプロファイル、およびツール化を、南アジアの政府および軍事組織へのフィッシングを専門とする長期実行中のSideWinder APTと一致させています。
軍事、外交、および政府ユーザーのウェブメールパスワードをキャプチャすることにより、SideWinderは機密通信への直接アクセスと内部ネットワークへの側方移動の可能性のあるパスを獲得します。
防御者は、汎用クラウドまたは開発者ドメインでホストされているZimbraまたはOutlookログインページを疑い、フィッシング耐性のある多要素認証を実施し、Cloudflare Workersを監視するべきです。または政府ウェブメールポータルをミミックする同様のサービス。
ネットワークおよびメールセキュリティチームは、疑わしいworkers.dev URL、長い「ゲート」クエリパラメータ、およびこの進化するSideWinderキャンペーンの指標として政府ブランド化に関連付けられたクローンされたPDFビューアーインターフェイスも追跡する必要があります。
翻訳元: https://gbhackers.com/fake-chrome-pdf-viewer/
