SideWinderとして知られる高度な持続的脅威グループは、南アジアの政府および軍事機関に対して、高度にターゲット化された認証情報の収集キャンペーンを実施しています。
セキュリティ研究者は最近、Cloudflare Workersに展開された洗練されたフィッシングキットを発見しました。このキットはバングラデシュ海軍とパキスタン外務省を特にターゲットにしています。
この作戦は、Zimbraウェブメールインターフェースの完璧なクローンに依存しています。認証された盗まれた外交文書をおとりとして使用し、高官をだまして自分のログイン認証情報を明け渡させています。
SideWinderは、機密の認証データを盗むために、公式な政府ログインポータルの説得力のあるレプリカを作成した十分に文書化された履歴があります。
この脅威アクターは、ネットワーク検出メカニズムを回避するために、公開無料ホスティングサービス間で頻繁にシフトして、高い運用テンポを維持することで知られています。
このフィッシングアプリケーションは、開発者によって内部的にZimbraの二要素認証の長期サポート版として命名され、サーバーレスインフラストラクチャでホストされている多段階の欺瞞プロセスに依存しています。
攻撃は、被害者がスピアフィッシングリンクを受け取ることで始まります。このリンクは不正なChrome PDFビューアに導くものです。
このランディングページには、近日中の国際会議でのホテル予約の詳細を記載した、正当な盗まれたパキスタン外交電報のぼやけた画像が表示されます。
攻撃者は、ぼやけているが本物に見える文書を被害者に提示することで、被害者が明確に読むことができず、緊急性と好奇心の強い感覚を作り出しています。
短い遅延の後、ページは自動的にユーザーを非常にリアルなZimbraロード画面にリダイレクトします。
真正性を最大化するために、フィッシングキットはリバースプロキシを使用して、ターゲット組織のメールサーバーから直接、実際のカスケードスタイルシート(CSS)、ファビコン、およびビジュアルアセットを取得します。
この動的アセットロードにより、偽のログインページは、なりすまされている正当なインフラストラクチャと完全に同じに見えることが確実になります。
被害者が最終的な認証情報収集ツールに達すると、再認証を強制する注入されたセッション有効期限エラーメッセージが提示されます。
被害者がユーザー名とパスワードを送信すると、サーバーは静かに認証情報をキャプチャします。その後、ユーザー名があらかじめ入力されたログインページをリロードします。
この微妙な心理的トリックにより、被害者はパスワードを単に誤って入力したと信じるようになり、しばしば認証情報を再度入力するよう促されます。
研究者が疑わしいウェブアドレスを調査した際、予想されるフォームデータなしでサーバーに変更されたウェブリクエストを送信しました。
アプリケーションに適切な入力検証がないため、クラッシュし、完全なアプリケーションスタックトレースを含む内部サーバーエラーを返しました。
このハンドルされていないエラーは、開発者の基礎となるLinuxホームディレクトリを公開し、システムユーザー名と内部プロジェクト名を明かしました。この稀な運用セキュリティの失敗は、防御者に脅威アクターのインフラストラクチャフットプリントを追跡するための正確な署名を提供しました。
翻訳元: https://cyberpress.org/sidewinder-hits-gov-webmail/