Microsoft обращает внимание на базирующуюся в Марокко киберпреступную группировку под названием Storm-0539, которая стоит за мошенничеством с подарочными картами и кражами с помощью высокоразвитых фишинговых атак по электронной почте и SMS.
"Их основная мотивация - украсть подарочные карты и получить прибыль, продавая их онлайн по сниженной цене", - говорится в последнем отчете компании Cyber Signals. "Мы видели несколько примеров, когда злоумышленник крал до 100 000 долларов в день в определенных компаниях".
Компания Microsoft впервые обратила внимание на Storm-0539 в середине декабря 2023 года, связав его с кампаниями социальной инженерии в преддверии сезона отпусков в конце года по краже учетных данных жертв и токенов сеанса с помощью фишинговых страниц "злоумышленник посередине" (AitM).
Известно, что банда, также называемая Atlas Lion и действующая как минимум с конца 2021 года, затем злоупотребляет первоначальным доступом для регистрации своих собственных устройств, чтобы обойти аутентификацию и получить постоянный доступ, получить повышенные привилегии и скомпрометировать услуги, связанные с подарочными картами, создавая поддельные подарочные карты для облегчения мошенничества.
Цепочки атак также предназначены для получения скрытого доступа к облачной среде жертвы, позволяя субъекту угрозы проводить обширную разведку и вооружать инфраструктуру для достижения своих конечных целей. Целями кампании являются крупные розничные торговцы, люксовые бренды и известные рестораны быстрого питания.
Конечная цель операции - вернуть стоимость, связанную с этими картами, продать подарочные карты другим субъектам угрозы на черных рынках или использовать денежных мулов для обналичивания подарочных карт.
Криминальная атака на порталы с подарочными картами знаменует собой тактическую эволюцию субъекта угрозы, который ранее занимался кражей данных платежных карт с помощью вредоносного ПО на устройствах торговых точек (PoS).
Производитель Windows заявил, что в период с марта по май 2024 года количество вторжений Storm-0539 увеличилось на 30%, описав злоумышленников как использующих свои глубокие знания об облаке для "проведения разведки процессов выдачи подарочных карт организации".
Ранее в этом месяце Федеральное бюро расследований США (ФБР) опубликовало консультативное предупреждение [PDF] о мошеннических атаках, совершаемых группой, нацеленных на отделы подарочных карт корпораций розничной торговли с использованием сложного фишингового набора для обхода многофакторной аутентификации (MFA).
"В одном случае корпорация обнаружила мошенническую активность Storm-0539 с подарочными картами в своей системе и внесла изменения, чтобы предотвратить создание мошеннических подарочных карт", - сообщило ФБР.
"Участники Storm-0539 продолжили свои хакерские атаки и восстановили доступ к корпоративным системам. Затем злоумышленники изменили тактику поиска неиспользованных подарочных карт и изменили связанные адреса электронной почты на те, которые контролируются участниками Storm-0539, чтобы выкупить подарочные карты."
Стоит отметить, что деятельность злоумышленника выходит за рамки кражи учетных данных сотрудников отдела подарочных карт, их усилия также распространяются на приобретение паролей и ключей secure shell (SSH), которые затем могут быть проданы с целью получения финансовой выгоды или использованы для последующих атак.
Еще одна тактика, принятая Storm-0539, предполагает использование законных внутренних списков рассылки компании для распространения фишинговых сообщений после получения первоначального доступа, придавая атакам видимость подлинности. Также было обнаружено, что она создает бесплатные пробные версии или учетные записи студентов на платформах облачных сервисов для создания новых веб-сайтов.
Злоупотребление облачной инфраструктурой, в том числе путем выдвижения законных некоммерческих организаций за поставщиков облачных услуг, является признаком того, что финансово мотивированные группы заимствуют страницы из сборников игр продвинутых игроков, спонсируемых государством, чтобы замаскировать свои операции и остаться незамеченными.
Microsoft призывает компании, выпускающие подарочные карты, относиться к своим порталам с подарочными картами как к ценным целям, отслеживая подозрительные логины.
"Организациям также следует рассмотреть возможность дополнения MFA политиками условного доступа, в которых запросы на аутентификацию оцениваются с использованием дополнительных сигналов, основанных на идентификации, таких как информация о местоположении IP-адреса или состоянии устройства, среди прочего", - отметили в компании.
"Операции Storm-0539 убедительны из-за использования злоумышленником законных скомпрометированных электронных писем и имитации законных платформ, используемых целевой компанией".
Это произошло после того, как Enea раскрыла подробности преступных кампаний, использующих облачные сервисы хранения данных, такие как Amazon S3, Google Cloud Storage, Backblaze B2 и IBM Cloud Object Storage, для мошенничества с подарочными картами на основе SMS, которые перенаправляют пользователей на вредоносные веб-сайты с целью хищения конфиденциальной информации.
"URL-адрес, ведущий к облачному хранилищу, распространяется с помощью текстовых сообщений, которые кажутся подлинными и поэтому могут обходить ограничения брандмауэра", - сказал исследователь Enea Манодж Кумар.
"Когда мобильные пользователи переходят по этим ссылкам, которые содержат хорошо известные домены облачной платформы, они перенаправляются на статический веб-сайт, хранящийся в хранилище. Затем этот веб-сайт автоматически пересылает пользователей на встроенные URL-адреса для рассылки спама или динамически генерируемые URL-адреса с использованием JavaScript, и все это без ведома пользователя."
В начале апреля 2023 года Enea также обнаружила кампании, в которых используются URL-адреса, созданные с использованием законного адреса Google "google.com/amp", который затем комбинируется с закодированными символами, чтобы скрыть мошеннический URL-адрес.
"Такого рода доверием пользуются злоумышленники, пытающиеся обмануть абонентов мобильной связи, прикрываясь, казалось бы, законными URL-адресами", - указал Кумар. "Методы злоумышленников могут включать заманивание подписчиков на свои веб-сайты под ложным предлогом и кражу конфиденциальной информации, такой как данные кредитной карты, электронная почта или учетные данные социальных сетей, а также другие личные данные".
"Их основная мотивация - украсть подарочные карты и получить прибыль, продавая их онлайн по сниженной цене", - говорится в последнем отчете компании Cyber Signals. "Мы видели несколько примеров, когда злоумышленник крал до 100 000 долларов в день в определенных компаниях".
Компания Microsoft впервые обратила внимание на Storm-0539 в середине декабря 2023 года, связав его с кампаниями социальной инженерии в преддверии сезона отпусков в конце года по краже учетных данных жертв и токенов сеанса с помощью фишинговых страниц "злоумышленник посередине" (AitM).
Известно, что банда, также называемая Atlas Lion и действующая как минимум с конца 2021 года, затем злоупотребляет первоначальным доступом для регистрации своих собственных устройств, чтобы обойти аутентификацию и получить постоянный доступ, получить повышенные привилегии и скомпрометировать услуги, связанные с подарочными картами, создавая поддельные подарочные карты для облегчения мошенничества.
Цепочки атак также предназначены для получения скрытого доступа к облачной среде жертвы, позволяя субъекту угрозы проводить обширную разведку и вооружать инфраструктуру для достижения своих конечных целей. Целями кампании являются крупные розничные торговцы, люксовые бренды и известные рестораны быстрого питания.
Конечная цель операции - вернуть стоимость, связанную с этими картами, продать подарочные карты другим субъектам угрозы на черных рынках или использовать денежных мулов для обналичивания подарочных карт.
Криминальная атака на порталы с подарочными картами знаменует собой тактическую эволюцию субъекта угрозы, который ранее занимался кражей данных платежных карт с помощью вредоносного ПО на устройствах торговых точек (PoS).
Производитель Windows заявил, что в период с марта по май 2024 года количество вторжений Storm-0539 увеличилось на 30%, описав злоумышленников как использующих свои глубокие знания об облаке для "проведения разведки процессов выдачи подарочных карт организации".
Ранее в этом месяце Федеральное бюро расследований США (ФБР) опубликовало консультативное предупреждение [PDF] о мошеннических атаках, совершаемых группой, нацеленных на отделы подарочных карт корпораций розничной торговли с использованием сложного фишингового набора для обхода многофакторной аутентификации (MFA).
"В одном случае корпорация обнаружила мошенническую активность Storm-0539 с подарочными картами в своей системе и внесла изменения, чтобы предотвратить создание мошеннических подарочных карт", - сообщило ФБР.
"Участники Storm-0539 продолжили свои хакерские атаки и восстановили доступ к корпоративным системам. Затем злоумышленники изменили тактику поиска неиспользованных подарочных карт и изменили связанные адреса электронной почты на те, которые контролируются участниками Storm-0539, чтобы выкупить подарочные карты."
Стоит отметить, что деятельность злоумышленника выходит за рамки кражи учетных данных сотрудников отдела подарочных карт, их усилия также распространяются на приобретение паролей и ключей secure shell (SSH), которые затем могут быть проданы с целью получения финансовой выгоды или использованы для последующих атак.
Еще одна тактика, принятая Storm-0539, предполагает использование законных внутренних списков рассылки компании для распространения фишинговых сообщений после получения первоначального доступа, придавая атакам видимость подлинности. Также было обнаружено, что она создает бесплатные пробные версии или учетные записи студентов на платформах облачных сервисов для создания новых веб-сайтов.
Злоупотребление облачной инфраструктурой, в том числе путем выдвижения законных некоммерческих организаций за поставщиков облачных услуг, является признаком того, что финансово мотивированные группы заимствуют страницы из сборников игр продвинутых игроков, спонсируемых государством, чтобы замаскировать свои операции и остаться незамеченными.
Microsoft призывает компании, выпускающие подарочные карты, относиться к своим порталам с подарочными картами как к ценным целям, отслеживая подозрительные логины.
"Организациям также следует рассмотреть возможность дополнения MFA политиками условного доступа, в которых запросы на аутентификацию оцениваются с использованием дополнительных сигналов, основанных на идентификации, таких как информация о местоположении IP-адреса или состоянии устройства, среди прочего", - отметили в компании.
"Операции Storm-0539 убедительны из-за использования злоумышленником законных скомпрометированных электронных писем и имитации законных платформ, используемых целевой компанией".
Это произошло после того, как Enea раскрыла подробности преступных кампаний, использующих облачные сервисы хранения данных, такие как Amazon S3, Google Cloud Storage, Backblaze B2 и IBM Cloud Object Storage, для мошенничества с подарочными картами на основе SMS, которые перенаправляют пользователей на вредоносные веб-сайты с целью хищения конфиденциальной информации.
"URL-адрес, ведущий к облачному хранилищу, распространяется с помощью текстовых сообщений, которые кажутся подлинными и поэтому могут обходить ограничения брандмауэра", - сказал исследователь Enea Манодж Кумар.
"Когда мобильные пользователи переходят по этим ссылкам, которые содержат хорошо известные домены облачной платформы, они перенаправляются на статический веб-сайт, хранящийся в хранилище. Затем этот веб-сайт автоматически пересылает пользователей на встроенные URL-адреса для рассылки спама или динамически генерируемые URL-адреса с использованием JavaScript, и все это без ведома пользователя."
В начале апреля 2023 года Enea также обнаружила кампании, в которых используются URL-адреса, созданные с использованием законного адреса Google "google.com/amp", который затем комбинируется с закодированными символами, чтобы скрыть мошеннический URL-адрес.
"Такого рода доверием пользуются злоумышленники, пытающиеся обмануть абонентов мобильной связи, прикрываясь, казалось бы, законными URL-адресами", - указал Кумар. "Методы злоумышленников могут включать заманивание подписчиков на свои веб-сайты под ложным предлогом и кражу конфиденциальной информации, такой как данные кредитной карты, электронная почта или учетные данные социальных сетей, а также другие личные данные".
