Site icon Kiber.ba

Gabagool koristi Cloudflare R2 Storage Service da zaobiđe sigurnosne filtere

Đorđe
Gabagool koristi Cloudflare R2 Storage Service da zaobiđe sigurnosne filtere-Kiber.ba

Gabagool koristi Cloudflare R2 Storage Service da zaobiđe sigurnosne filtere-Kiber.ba

Tim TRAC Labsa nedavno je otkrio sofisticiranu phishing kampanju nazvanu “Gabagool” koja cilja korporativne i državne službenike.

Ova kampanja iskorištava Cloudflare R2 servis za pohranu za smještaj zlonamjernog sadržaja, koristeći pouzdanu reputaciju Cloudflarea da izbjegne sigurnosne filtere.

Napad počinje sa narušenim poštanskim sandučićima koji šalju phishing mejlove drugim zaposlenima. Ove e-poruke sadrže sliku prerušenu u dokument s ugrađenom malicioznom skraćenom URL vezom.

Kada se klikne, korisnici se preusmjeravaju kroz lanac platformi za dijeljenje datoteka prije nego što stignu na stranicu Cloudflare R2.

Istraživači tima TRAC Labs otkrili su da se odredišna stranica za krađu identiteta nalazi na Cloudflare R2 bucketu sa URL formatom: pub-{32 heksadecimalna znaka}.r2.dev/{html_filename}.html.

Ova postavka omogućava napadačima da zaobiđu sigurnosne mjere korištenjem pouzdane infrastrukture Cloudflarea.

Tehnička analiza

Gabagool koristi različite metode za otkrivanje i izbjegavanje aktivnosti bota:

  1. Webdriver provjere
  2. Detekcija pokreta miša
  3. Testovi kolačića
  4. Brza detekcija interakcije

Ako se sumnja na aktivnost bota, korisnik se preusmjerava na legitimnu domenu. U suprotnom, phishing stranica se učitava nakon 2 sekunde odgode.

Lanac infekcije (izvor – medij)

Stranica za krađu identiteta koristi AES enkripciju da zaštiti adresu svog servera. On hvata korisničke akreditive i šalje ih na server napadača (o365.alnassers.net) radi prikupljanja.

Gabagool može upravljati različitim metodama višefaktorske autentifikacije (MFA), uključujući:

  1. PhoneAppNotification
  2. PhoneAppOTP
  3. OneWaySMS
  4. TwoWayVoiceMobile
  5. TwoWayVoiceOffice

Ova mogućnost omogućava napadačima da potencijalno zaobiđu MFA zaštitu.

Da bi otkrili Gabagool napade, sigurnosni timovi bi trebali:

  1. Nadgledajte neobične veze sa Cloudflare R2 buckets
  2. Pazite na promet na poznatim zlonamjernim serverima kao što je o365.alnassers.net
  3. Pregledajte podatke o mrežnom prometu koji se šalju sumnjivim serverima
  4. Koristite javne URLScan upite za identifikaciju potencijalnih prijetnji

Osim toga, istraživači su pozvali da organizacije moraju ostati na oprezu i prilagoditi svoje sigurnosne mjere za zaštitu od sofisticiranih kampanja poput Gabagool-a.

Izvor: CyberSecurityNews

Exit mobile version