A TLAB Technologies, uma empresa sediada no Cazaquistão especializada em prevenção avançada de ameaças, descobriu uma das primeiras tentativas de phishing conhecidas na região que direcionava clientes do setor público em um recente incidente de segurança cibernética.
O ataque alavancou uma página de login falsa profissionalmente criada para colher credenciais do usuário, empregando a API de bot da Telegram como um canal secreto de exfiltração.
Esse método, embora não seja totalmente novo, demonstrou um alto nível de sofisticação em imitar interfaces legítimas do governo, tornando -o particularmente enganoso para usuários inocentes.
A campanha explorou a confiança do usuário por meio de táticas de engenharia social, como campos de e-mail pré-preenchidos e avisos de segurança falsos, para facilitar o roubo de credenciais.
O sistema anti-Apt da TLAB desempenhou um papel fundamental na detecção, utilizando uma mistura única de análise heurística, reconhecimento de caracteres ópticos (OCR) para extração de conteúdo renderizada e monitoramento comportamental automatizado para identificar o HTML malicioso sem intervenção manual.
Isso permitiu uma rápida geração de veredicto dentro de 60 segundos, destacando a eficácia do sistema contra ameaças de dia zero e ameaças persistentes avançadas (APTs).
Avaria técnica do mecanismo de ataque
A operação de phishing começa com um malicioso Arquivo html Isso torna um formulário de login falsificado, visualmente idêntico aos portais oficiais do governo do Cazaquistão como os submetidos .Domínios .gov.kz.
JavaScript Incorpado intercepta envios de formulários, capturando nomes de usuário e senhas inseridas sem acionar o processamento padrão do lado do servidor.
O script constrói uma mensagem formatada simulando logs de credenciais roubados e o transmite por meio de uma solicitação GET para a API do Telegram Bot, permitindo a exfiltração de dados em tempo real a um bate-papo controlado pelo atacante.
Em uma amostra analisada, a página exibiu um e-mail do governo pré-preenchido (por exemplo, @. ***. Gov.kz) e levou os usuários a “confirmar sua caixa de correio para acessar o arquivo”, acompanhado por uma nota enganosa que reivindica proteção pelo sistema de segurança oficial.
Esse engano da interface do usuário aumenta a plausibilidade, explorando vulnerabilidades psicológicas. Uma amostra secundária, intitulada “Especificação” (SHA-256: 7EE39D2572F161D4C94BB06BDA5BEA229D39DC869808AD5F5D110964AA470071), empregou um layout baseado em tabela com antecedentes Blurred e Base64-
Após a entrada de credenciais, ele publicou dados em um serviço de envio de formulários de terceiros antes de redirecionar para uma página de suporte legítima da Microsoft, mascarando o sucesso do ataque.
Ambas as instâncias alinhadas com a cadeia de matança cibernética: do reconhecimento direcionado e armas de cargas úteis em HTML, por meio de Entrega de e -mail de phishing e exploração de confiança, para C2 via telegrama e realização objetiva por meio de compromisso da conta.
A análise da caixa de areia do TLAB capturou capturas de tela de alterações dinâmicas de páginas, revelando comportamentos de phishing estático que evitavam o antivírus tradicional, evitando a execução do código executável.
Estratégias defensivas
Esta campanha ressalta o cenário de ameaças em evolução, onde os adversários redirecionam plataformas legítimas como Telegram e Firebase para fins maliciosos, ignorando as defesas convencionais da rede.
Ao integrar a análise comportamental profunda e a detecção de token da API, as ferramentas do TLAB sinalizaram automaticamente mais de 100 atividades maliciosas, processando até 10.000 amostras diariamente em um único servidor.
De acordo com o relatórioAs organizações, especialmente nos setores do governo e de infraestrutura crítica, devem priorizar as defesas de várias camadas, incluindo treinamento de funcionários sobre indicadores de phishing, implementação de firewalls de aplicativos da Web e monitoramento em tempo real para chamadas anômalas de API.
O compartilhamento contínuo de inteligência de ameaças, como demonstrado pelas alianças da TLAB com empresas como a Trend Micro, é crucial para preencher esses ataques.
Por fim, este incidente destaca a necessidade de avaliações proativas de vulnerabilidade para combater táticas de exfiltração de dados que misturam proezas técnicas com engenharia social.
Indicadores de compromisso (IOCs)
| Categoria | Indicador |
|---|---|
| Hash de arquivo | 7EE39D2572F161D4C94BB06BDA5BEA229D39DC869808AD5F5D110964AA470071 (SHA-256) |
| Token de telegrama | 7527440371: aagiar_obbdwitbgukll4bh_qmt6tngputy |
| Telegrama de bate -papo | 6516482987 |
| Endpoint de rede | envie-se forma.com/on59mco96 (coleção de credenciais) |
| Redirecionar URL | support.microsoft.com/en-en/onedrive (pós-exfiltração) |
AWS Security Services:10-Point Executive Checklist -Download for Free