微軟聚焦了一個總部位於摩洛哥的網絡犯罪集團,稱為Storm-0539,以其電子郵件和SMS網絡釣魚攻擊針對禮品卡欺詐而臭名昭著。
這個啟示是微軟最新的一部分網絡信號報告。
Storm-0539的作案手法
自2021年底以來,Storm-0539網絡犯罪團伙以其另一個名字Atlas Lion的名字躲藏起來。該集團的主要目標是以折扣價竊取禮品卡並在線出售。某些實例報告說,某些公司每天盜竊最多100,000美元。
戰術和技術
該小組的策略涉及高級社會工程運動,尤其是在年底假期左右,以通過中間的對手(AITM)網絡釣魚頁面竊取證書和會議令牌。
一旦獲得初始訪問,Storm-0539就會註冊自己的設備以繞過身份驗證,確保持續的訪問和提高特權。這種訪問使他們能夠妥協禮品卡服務,創建欺詐性禮品卡,並在受害者的雲環境中進行廣泛的偵察。
目標行業
Storm-0539主要針對大型零售商,奢侈品牌和快餐連鎖店。他們的最終目標是兌換,出售或兌現被盜的禮品卡價值。這標誌著他們以前使用惡意軟件(POS)設備上的惡意軟件盜竊的對支付卡數據盜竊的戰術演變。
最近活動激增
微軟觀察到,在3月至2024年5月之間,Storm-0539的活動增加了30%。攻擊者利用他們對雲基礎設施的深刻了解來滲透到滲透組織的禮品卡發行流程。
美國聯邦調查局(FBI)也發布了諮詢警告關於Storm-0539的Smishing攻擊,強調了它們使用複雜的網絡釣魚套件來繞過多因素身份驗證(MFA)。
“ Storm-0539演員繼續他們的攻擊攻擊並重新獲得了公司係統的訪問權。然後,演員們將策略樞紐以找到未贖回的禮品卡,並將相關的電子郵件地址更改為由Storm-0539演員控制的,以贖回禮品卡,” FBI說。 ”
全面的攻擊策略
Storm-0539的策略不僅僅是竊取登錄證書易怒的計算機。他們還針對安全外殼(SSH)密碼和密鑰,以進行經濟增益或後續攻擊。
另一個值得注意的策略是使用合法的內部郵件列表來傳播網絡釣魚消息,從而為其攻擊增添了真實性。他們還在雲平台上創建免費試用或學生帳戶以設置網絡釣魚網站。
利用雲基礎架構
Storm-0539濫用雲基礎架構,包括假冒合法的非營利組織,鏡像由國家贊助的演員使用的技術偽裝作戰和逃避檢測。這種趨勢表明,以財務積極進取的團體採用了國家贊助的劇本的高級策略。
緩解措施
有了這一點,雷德蒙德巨頭警告公司在發行禮品卡時要格外小心,以監視其禮品卡門戶作為高價值目標。這也是為了觀看可疑登錄。他們建議使用其他身份驅動的信號(例如IP地址位置和設備狀態)評估身份驗證請求的有條件訪問策略,以補充MFA。
雲存儲中的新興威脅
ENEA揭示了利用雲存儲服務(例如Amazon S3,Google Cloud Storage,Backblaze B2和IBM Cloud Object存儲)的犯罪活動的詳細信息,用於基於SMS的禮品卡騙局。這些騙局使用鏈接到雲存儲的URL繞過防火牆限制,將用戶重定向到惡意網站以竊取敏感信息。
公司必須採取強有力的安全措施來防止這些複雜的攻擊。通過將禮品卡門戶視為高價值目標並增強身份驗證過程,組織可以減輕像Storm-0539這樣的團體所帶來的風險。
