黑客濫用 Ngrok 平臺進行網絡釣魚攻擊
威脅情報公司Cyble的研究人員發現了針對特定組織的新一輪網絡釣魚攻擊,這些組織正在濫用ngrok平臺,這是通往本地主機的安全且自省的隧道。
ngrok是用于將本地開發服務器公開到Internet的跨平臺應用程序,通過創建到本地主機的長期TCP隧道,該服務器似乎托管在ngrok的子域(例如,4f421deb219c[.]ngrok[.]io)上。專家指出,ngrok服務器軟件運行在VPS或專用服務器上,可以繞過NAT映射和防火墻限制。
威脅參與者正在出于多種惡意目的濫用該協議。
“多個威脅行為者濫用ngrok平臺來未經授權地訪問目標,以提供額外的有效載荷,泄露財務數據(例如信用卡/借記卡信息)以及進行針對性的網絡釣魚攻擊。” 閱讀Cyble發表的帖子。
專家指出,很難檢測到濫用ngrok平臺的攻擊,因為與ngrok.com子域的連接沒有通過安全措施過濾。
專家們提供了由網絡犯罪組織和Fox Kitten和Pioneer Kitten APT團體等國家級參與者進行的基于ngrok的攻擊列表。
專家報告了濫用ngrok隧道的多種惡意軟件和網絡釣魚活動。
使用ngrok隧道傳輸的一些新惡意軟件/網絡釣魚活動包括:
- Njrat
- DarkComet
- Quasar RAT
- asynrat
- Nanocore RAT
Cyble專注于濫用ngrok.io進行網絡釣魚攻擊的威脅參與者。
“有趣的是,我們發現在黑暗網絡市場/泄漏和網絡犯罪論壇中,有多個威脅參與者(例如BIN CARDERS,Telegramcarder數據和linlogpass)使用了多個ngrok.io鏈接。” 塞伯勒繼續說。
Cyble還發現了一個在網絡犯罪論壇上做廣告的網絡釣魚工具套件,名為“ KingFish3”。專家發現,威脅參與者在論壇上分享了Github與該工具的鏈接,該鏈接也濫用ngrok隧道進行攻擊。
根據專家確定的步驟,濫用ngrok隧道并進行網絡釣魚攻擊:
- 該工具使用ngrok創建到具有指定端口的所選網絡釣魚URL的隧道。
- 黑客在第一個會話中跟蹤實時日志,并等待受害者輸入他們的電話號碼。
- 然后,黑客使用收集的憑據登錄到受影響的應用程序的官方站點,并生成OTP(2FA)。
- 然后,受害者將收到的OTP輸入到網絡釣魚站點中,然后由黑客捕獲。
- 最后,黑客可以使用OTP(2FA)訪問受害者的官方帳戶。
該帖子包括基于ngrok的網絡釣魚威脅指標(IOC)的部分列表。
以下是Cyble專家的建議:
- 建議ngrok和其他隧道服務的用戶從其信息安全團隊獲得授權。
- 建議使用密碼保護其隧道訪問并啟用IP白名單以將訪問限制為僅信任IP地址。
- 盡可能并切合實際地打開計算機,移動設備和其他連接的設備上的自動軟件更新功能。
- 定期監視您的財務交易,如果發現任何可疑活動,請立即與您的銀行聯系。
- 在連接的設備(包括PC,筆記本電腦和移動設備)上使用知名的防病毒和Internet安全軟件包。
- 擔心自己暴露在Dark網絡中的人們可以在AmiBreached.com上進行注冊, 以確定他們的暴露程度。
- 不要在不驗證其真實性的情況下打開不受信任的鏈接和電子郵件附件。
