微软呼吁关注一个名为Storm-0539的摩洛哥网络犯罪组织,该组织通过高度复杂的电子邮件和短信网络钓鱼攻击进行礼品卡欺诈和盗窃。
该公司在其最新的网络信号报告中表示: “他们的主要动机是窃取礼品卡,并通过在网上以折扣价出售来获利。” “我们已经看到一些例子,威胁行为者在某些公司每天窃取高达 10 万美元。”
Storm-0539于 2023 年 12 月中旬首次被微软关注,并将其与年底假期前的社会工程活动联系起来,以通过中间人 ( AitM ) 网络钓鱼页面窃取受害者的凭据和会话令牌。
该团伙也称为 Atlas Lion,至少自 2021 年底以来一直活跃,众所周知,他们滥用初始访问权限来注册自己的设备,以绕过身份验证并获得持久访问权限、获取提升的权限,并通过创建虚假礼品卡来破坏与礼品卡相关的服务以促进欺诈。
攻击链进一步设计为秘密访问受害者的云环境,使威胁行为者能够进行广泛的侦察并将基础设施武器化以实现其最终目标。该活动的目标包括大型零售商、奢侈品牌和知名快餐店。
该行动的最终目标是兑换与这些卡相关的价值,将礼品卡在黑市上卖给其他威胁行为者,或使用钱骡兑现礼品卡。
犯罪分子针对礼品卡门户网站的攻击标志着威胁行为者的战术演变,他们之前曾利用销售点(PoS)设备上的恶意软件窃取支付卡数据。
这家 Windows 制造商表示,它观察到 2024 年 3 月至 5 月期间 Storm-0539 入侵活动增加了 30%,并称攻击者利用他们对云端的深入了解“对组织的礼品卡发行流程进行侦察”。
本月早些时候,美国联邦调查局 (FBI)发布了一份咨询报告[PDF],警告该组织使用复杂的网络钓鱼工具包绕过多因素身份验证 (MFA),针对零售公司的礼品卡部门发起短信网络钓鱼攻击。
联邦调查局表示:“有一次,一家公司在其系统中检测到了 Storm-0539 的欺诈性礼品卡活动,并采取了改变措施以防止创建欺诈性礼品卡。”
“Storm-0539 攻击者继续进行短信钓鱼攻击,并重新获得了对公司系统的访问权限。然后,攻击者转向寻找未兑换的礼品卡,并将相关电子邮件地址更改为 Storm-0539 攻击者控制的电子邮件地址,以便兑换礼品卡。”
![]()
值得注意的是,威胁行为者的活动不仅限于窃取礼品卡部门人员的登录凭证,他们的努力还扩展到获取安全外壳 (SSH) 密码和密钥,然后出售以获取经济利益或用于后续攻击。
Storm-0539 采取的另一种策略是,在获得初始访问权限后,使用合法的公司内部邮件列表传播钓鱼消息,从而为攻击增加一层真实性。还发现它在云服务平台上创建免费试用或学生帐户来建立新网站。
滥用云基础设施,包括冒充合法的非营利组织提供云服务提供商,表明出于经济动机的团体正在借鉴国家资助的先进行为者的剧本来伪装他们的行动并不被发现。
微软敦促发行礼品卡的公司将其礼品卡门户视为高价值目标,监控可疑登录。
该公司指出:“组织还应考虑通过条件访问策略补充 MFA,其中使用额外的身份驱动信号(如 IP 地址位置信息或设备状态等)来评估身份验证请求。”
“Storm-0539 行动具有说服力,因为攻击者使用合法的受感染电子邮件,并模仿目标公司使用的合法平台。”
网络安全
此前,Enea 披露了犯罪活动的细节,这些犯罪活动利用 Amazon S3、Google Cloud Storage、Backblaze B2 和 IBM Cloud Object Storage 等云存储服务进行基于短信的礼品卡诈骗,将用户重定向到恶意网站,目的是窃取敏感信息。
Enea 研究员 Manoj Kumar表示:“指向云存储的 URL 链接是通过短信分发的,这些短信看起来是真实的,因此可以绕过防火墙的限制。”
“当移动用户点击这些包含知名云平台域名的链接时,他们会被引导至存储在存储桶中的静态网站。然后,该网站会自动将用户转发或重定向到嵌入的垃圾邮件 URL 或使用 JavaScript 动态生成的 URL,而所有这些都是在用户不知情的情况下进行的。”
2023 年 4 月初,Enea 还发现了一些活动,其中涉及使用合法 Google 地址“google.com/amp”构建的 URL,然后将其与编码字符相结合以隐藏诈骗 URL。
Kumar指出:“恶意攻击者利用这种信任,试图通过隐藏在看似合法的 URL 后面来欺骗移动用户。攻击者的手段包括以虚假借口诱骗用户访问其网站,以及窃取敏感信息,如信用卡详细信息、电子邮件或社交媒体凭证以及其他个人数据。”
发表评论
您还未登录,请先登录。
登录