Microsoft vestigt de aandacht op een in Marokko gevestigde cybercriminaliteitsgroep genaamd Storm-0539 dat is de oorzaak van cadeaubonfraude en diefstal via zeer geavanceerde e-mail- en sms-phishing-aanvallen.
“Hun voornaamste motivatie is om cadeaubonnen te stelen en winst te maken door ze online tegen een gereduceerd tarief te verkopen”, aldus het bedrijf in zijn laatste Cyber Signals-rapport. “We hebben enkele voorbeelden gezien waarbij de bedreigingsacteur bij bepaalde bedrijven tot wel $100.000 per dag heeft gestolen.”
Storm-0539 werd medio december 2023 voor het eerst onder de aandacht gebracht door Microsoft en koppelde het aan social engineering-campagnes voorafgaand aan de eindejaarsfeesten om de inloggegevens en sessietokens van slachtoffers te stelen via phishing-pagina's van Adversary-in-the-Middle (AitM).
Het is bekend dat de bende, ook wel Atlas Lion genoemd en actief sinds eind 2021, vervolgens misbruik maakt van de initiële toegang om hun eigen apparaten te registreren om de authenticatie te omzeilen en permanente toegang te verkrijgen, verhoogde rechten te verkrijgen en cadeaukaartgerelateerde diensten in gevaar te brengen door nep-advertenties te creëren. cadeaubonnen om fraude te vergemakkelijken.
De aanvalsketens zijn verder ontworpen om heimelijke toegang te krijgen tot de cloudomgeving van een slachtoffer, waardoor de dreigingsactor uitgebreide verkenningen kan uitvoeren en de infrastructuur kan bewapenen om zijn einddoelen te bereiken. Doelstellingen van de campagne zijn onder meer grote retailers, luxemerken en bekende fastfoodrestaurants.
Het einddoel van de operatie is het inwisselen van de waarde die aan die kaarten is verbonden, het verkopen van de cadeaubonnen aan andere bedreigingsactoren op de zwarte markt, of het gebruiken van geldmuilezels om de cadeaubonnen uit te betalen.
Het criminele aanvallen op cadeaukaartportals markeert een tactische evolutie van de bedreigingsacteur, die zich eerder bezighield met het stelen van betaalkaartgegevens door malware te gebruiken op point-of-sale (PoS)-apparaten.
De Windows-maker zei dat hij tussen maart en mei 2024 een toename van 30% in de Storm-0539-inbraakactiviteit had waargenomen, waarbij de aanvallers hun diepgaande kennis van de cloud gebruikten om “verkenningen uit te voeren over de uitgifteprocessen van cadeaubonnen van een organisatie.”
Eerder deze maand bracht het Amerikaanse Federal Bureau of Investigation (FBI) een adviserende (pdf) waarschuwing uit voor smishing-aanvallen gepleegd door de groep gericht op de cadeaukaartafdelingen van detailhandelsbedrijven die een geavanceerde phishing-kit gebruiken om multi-factor authenticatie (MFA) te omzeilen.
“In één geval ontdekte een bedrijf de frauduleuze cadeaubonactiviteiten van Storm-0539 in hun systeem en voerde veranderingen door om het aanmaken van frauduleuze cadeaubonnen te voorkomen”, aldus de FBI.
“Storm-0539-actoren gingen door met hun smishing-aanvallen en kregen weer toegang tot bedrijfssystemen. Vervolgens veranderden de acteurs hun tactiek in het lokaliseren van niet-ingewisselde cadeaubonnen en veranderden ze de bijbehorende e-mailadressen in die beheerd door Storm-0539-acteurs om de cadeaubonnen in te wisselen. “
Het is vermeldenswaard dat de activiteiten van de bedreigingsactoren verder gaan dan het stelen van de inloggegevens van het personeel van de cadeaukaartafdeling. Hun inspanningen strekken zich ook uit tot het verkrijgen van Secure Shell (SSH)-wachtwoorden en -sleutels, die vervolgens kunnen worden verkocht voor financieel gewin of kunnen worden gebruikt voor vervolgaanvallen. .
Een andere tactiek van Storm-0539 is het gebruik van legitieme interne mailinglijsten van bedrijven om phishing-berichten te verspreiden zodra er toegang is verkregen, waardoor een laagje authenticiteit aan de aanvallen wordt toegevoegd. Er is ook ontdekt dat er gratis proefversies of studentenaccounts op cloudserviceplatforms worden aangemaakt om nieuwe websites op te zetten.
Het misbruik van de cloudinfrastructuur, onder meer door zich voor te doen als legitieme non-profitorganisaties tegenover aanbieders van clouddiensten, is een teken dat financieel gemotiveerde groepen een pagina lenen uit de draaiboeken van geavanceerde, door de staat gesponsorde actoren, om hun activiteiten te camoufleren en onopgemerkt te blijven.
Microsoft dringt er bij bedrijven die cadeaubonnen uitgeven op aan om hun cadeaubonportals als waardevolle doelwitten te behandelen door te controleren op verdachte logins.
“Organisaties zouden ook moeten overwegen om MFA aan te vullen met beleid voor voorwaardelijke toegang, waarbij authenticatieverzoeken worden geëvalueerd met behulp van aanvullende identiteitsgestuurde signalen zoals onder meer IP-adreslocatie-informatie of apparaatstatus”, aldus het bedrijf.
“Storm-0539-operaties zijn overtuigend vanwege het gebruik door de acteur van legitieme gecompromitteerde e-mails en het nabootsen van legitieme platforms die door het beoogde bedrijf worden gebruikt.”
De ontwikkeling komt op het moment dat Enea details onthulde van criminele campagnes die misbruik maken van cloudopslagdiensten zoals Amazon S3, Google Cloud Storage, Backblaze B2 en IBM Cloud Object Storage voor op sms gebaseerde oplichting met cadeaubonnen die gebruikers doorverwijst naar kwaadaardige websites met als doel gevoelige websites te plunderen. informatie.
“De URL die naar de cloudopslag linkt, wordt verspreid via sms-berichten, die authentiek lijken en daarom firewallbeperkingen kunnen omzeilen”, aldus Enea-onderzoeker Manoj Kumar.
“Wanneer mobiele gebruikers op deze links klikken, die bekende cloudplatformdomeinen bevatten, worden ze doorgestuurd naar de statische website die is opgeslagen in de opslagbucket. Deze website stuurt gebruikers vervolgens automatisch door of leidt gebruikers om naar de ingebedde spam-URL's of dynamisch gegenereerde URL's met behulp van JavaScript , allemaal zonder medeweten van de gebruiker.”
Begin april 2023 ontdekte Enea ook campagnes waarbij URL's betrokken waren die waren opgebouwd met behulp van het legitieme Google-adres 'google.com/amp', dat vervolgens werd gecombineerd met gecodeerde tekens om de zwendel-URL te verbergen.
“Dit soort vertrouwen wordt uitgebuit door kwaadwillende actoren die mobiele abonnees proberen te misleiden door zich te verschuilen achter ogenschijnlijk legitieme URL's”, aldus Kumar. “Aanvallerstechnieken kunnen bestaan uit het onder valse voorwendselen lokken van abonnees naar hun websites en het stelen van gevoelige informatie zoals creditcardgegevens, e-mail- of sociale mediagegevens en andere persoonlijke gegevens.”