Enthüllung von VoidProxy: ein neuartiges und schwer aufzuspürendes Phishing-as-a-Service-Framework

Zusammenfassung

Okta Threat Intelligence hat eine neuartige, ausgeklügelte und aktiv eingesetzte Phishing-as-a-Service (PhaaS)-Plattform aufgedeckt, die auf Microsoft 365- und Google Workspace-Accounts abzielt und die wir als VoidProxy oder O-TA-083 verfolgen.

Aktivitäten von VoidProxy PhaaS werden seit mindestens Januar 2025 beobachtet, und täglich werden neue Domains und Kontoübernahmeversuche festgestellt. Die Plattform wird verwendet, um Organisationen in verschiedenen Branchen anzugreifen.

VoidProxy nutzt Adversary-in-the-Middle (AitM)-Techniken, um Authentifizierungsabläufe in Echtzeit abzufangen, Anmeldedaten und Multi-Faktor-Authentifizierungs-(MFA)-Codes zu erfassen und Sitzungs-Cookies zu stehlen, wodurch MFA-Schutzmaßnahmen umgangen werden.

Diese Fähigkeit macht gängige MFA-Methoden, wie SMS-Codes und Einmal-Passwörter (OTP) von Authenticator-Apps, unwirksam. Okta bietet jedoch eine Auswahl an Authentifizierungsfaktoren für Phishing-Resistenz, darunter Okta FastPass, das alle Versuche eines gehackten Accounts von VoidProxy bei den von uns beobachteten Angriffen verhindert hat.

Das Hauptziel von VoidProxy ist das Kompromittieren von Unternehmenskonten, um nachfolgende bösartige Aktivitäten wie Business E-Mail-Adresse Compromise (BEC), Finanzbetrug, Datenexfiltration und laterale Bewegung innerhalb von Opfernetzwerken zu erleichtern.

Aufgrund seines PhaaS-Modells senkt VoidProxy die technische Hürde für eine breite Palette von Angreifern, um AitM-Phishing-Angriffe auszuführen, was seine potenziellen Auswirkungen erheblich verstärkt. Die Plattform stellt eine ausgereifte, skalierbare und schwer zu entdeckende Bedrohung dar, die eine Herausforderung für herkömmliche E-Mail-Sicherheits- und Authentifizierungskontrollen darstellt.

Die Informationen in dieser Empfehlung dienen dazu, Organisationen in die Lage zu versetzen, die von dieser Bedrohung ausgehenden Risiken zu verstehen und zu mindern.

Bedrohungsanalyse

Anatomie eines Angriffs: Die VoidProxy-Kill-Chain

Die VoidProxy-Angriffsmethodik folgt einer mehrstufigen Kill Chain, die entwickelt wurde, um Sicherheitskontrollen systematisch zu umgehen und Endbenutzer zu täuschen. Jede Phase ist sorgfältig orchestriert und nutzt eine verteilte Infrastruktur, um das Ziel des gehackten Accounts zu erreichen.

Phase 1: Bereitstellung

Der anfängliche Vektor für einen VoidProxy-Angriff ist eine Phishing-E-Mail, die auf Benutzer von großen Cloud-Diensten wie Microsoft 365 und Google Workspace abzielt.

Um Standard-Sicherheitskontrollen zu umgehen, verwenden die Betreiber legitime E-Mail Service Provider (ESPs) mit hoher Reputation. Wir haben die Verwendung von Constant Contact, Active Campaign (Postmarkapp), NotifyVisitors und anderen beobachtet, um ihre bösartigen Köder zu versenden. Dies ist eine bewusste Entscheidung, da E-Mails, die aus den vertrauenswürdigen IP-Bereichen solcher Dienste stammen, weniger wahrscheinlich von E-Mail-Gateways als Spam oder bösartig gekennzeichnet werden.

In diese E-Mails ist ein Link eingebettet, der oft legitime URL-Kürzungsdienste wie TinyURL verwendet, um die reale Adresse der Phishing-Seite zu verbergen. Dies dient dazu, das wahre Ziel sowohl vor dem Benutzer als auch vor automatisierten Scannern zu verbergen, wodurch die Wahrscheinlichkeit erhöht wird, dass der Benutzer auf den Link klickt und das endgültige Ziel erreicht.

VoidProxy-Infrastruktur

VoidProxy verwendet einen mehrschichtigen Ansatz, der aus verschiedenen Phasen besteht, von denen jede ihre eigenen spezifischen Eigenschaften aufweist.

Die operative Infrastruktur von VoidProxy ist eine Kombination aus kurzlebigen Frontends mit hoher Fluktuation und einem beständigen, widerstandsfähigen Backend, das auf einer serverlosen Architektur gehostet wird.

Domänen- und Subdomänenmuster

Die Betreiber von VoidProxy halten sich an ein konsistentes Muster für die Infrastrukturbereitstellung:

• Phishing-Domains: Die primären Landing-Pages werden auf Domains gehostet, die mit einer Vielzahl von kostengünstigen TLDs mit geringer Reputation registriert sind, wie z. B. .icu, .sbs, .cfd, .xyz, top und .home. Diese Strategie minimiert die Betriebskosten und ermöglicht es den Angreifern, die Domains als Wegwerfartikel zu behandeln und sie schnell aufzugeben, sobald sie identifiziert und auf eine Sperrliste gesetzt werden. Die Phishing-Sites befinden sich hinter Cloudflare, wodurch die tatsächliche IP-Adresse des Servers der Phishing-Site effektiv verborgen wird und es für Security-Teams schwieriger wird, den bösartigen Host zu verfolgen und zu entfernen.
• Subdomain-Präfixe: Die Analyse mehrerer VoidProxy-URLs zeigt die wiederholte Verwendung bestimmter Subdomain-Präfixe, insbesondere: accounts, Anmeldung, Portal, securedauthxx und newnewdom. Wir gehen davon aus, dass diese Präfixe wahrscheinlich automatisch durch das Deployment-Skript des Kits generiert werden, um Muster anzusprechen, die von bestimmten Identity-Anbietern verwendet werden.

Sicherheitsfilterung mit Cloudflare Workers

Wie oben beschrieben, verwendet die PhaaS-Plattform eine verteilte Architektur. Cloudflare Workers (*.workers.dev) fungiert als erster Gatekeeper, der die Phishing-Inhalte bereitstellt und vorläufige Überprüfungen durchführt, z. B. die Darstellung einer Cloudflare CAPTCHA-Herausforderung.

Ein interessanter Einblick in das Betriebsmodell von VoidProxy PhaaS ergibt sich aus der Namenskonvention seiner Cloudflare Worker-Endpunkte. Nach der Analyse mehrerer Fälle ergab sich ein konsistentes Muster: Alle Cloudflare Worker-Endpunkte wurden mit dem gleichen Namenskonstrukt erstellt. Der Angreifer hat plausibel klingende englische Namen wie aidenveliz, kelvingomez und sammybruce in der Subdomain verwendet:

<alphanumeric>.<firstnamelastname>.workers.dev.

Dieses Muster deutet stark auf ein automatisiertes oder halbautomatisches Provisionierungssystem für die PhaaS-Kunden hin (Angreifer, die das Kit mieten). Das manuelle Erstellen und Verwalten eindeutiger Cloudflare-Accounts für jeden Angreifer, der das Kit gekauft hat, wäre ineffizient und schwer zu skalieren. Stattdessen ist es wahrscheinlich, dass die VoidProxy-Betreiber einen Master-Account oder einen API-Key verwenden, um diese Infrastruktur programmgesteuert zu generieren. Die zufällig generierte <firstnamelastname> Komponente dient wahrscheinlich als eindeutiger Namespace für einen bestimmten Kunden oder eine gross angelegte Kampagne. Das Präfix <alphanumeric> fungiert dann als eindeutige Kennung für eine bestimmte Phishing-Seiteninstanz, die von diesem Angreifer bereitgestellt wird. Diese Architektur bietet eine Isolationsebene zwischen den Käufern des Kits und erschwert es Forschern, alle VoidProxy-Aktivitäten mit einer einzigen Kontrollinstanz zu verbinden.

Core-Proxy- und C2-Infrastruktur

Der Kern der Operation von VoidProxy – sowohl der AiTM-Reverse-Proxy als auch das administrative Panel des Angreifers – wird auf Servern gehostet, auf die über dynamische DNS-Wildcard-Dienste sslip.io und nip.io zugegriffen wird. Diese Dienste sind so konzipiert, dass sie Hostnamen mit eingebetteten IP-Adressen direkt in diese IPs auflösen, eine Funktionen, die für die Entwicklung gedacht ist und nun für böswillige Zwecke eingesetzt wird.

Diese Infrastruktur dient als:

1. AitM-Proxy-Engine: Dies ist der Server, der den eigentlichen Adversary-in-the-Middle-Angriff durchführt und den Datenverkehr zwischen dem Opfer und dem legitimen Dienst weiterleitet, um Session-Cookies zu stehlen.
2. Admin-Panel des Angreifers: Diese URLs hosten auch das webbasierte Panel, mit dem PhaaS-Kunden Kampagnen konfigurieren, Opfer in Echtzeit überwachen und auf gestohlene Daten zugreifen können.

Die Verwendung des Präfixes "voidproxy" ist ein eindeutiges Kennzeichen für diese C2-Infrastruktur. Diese Architektur trennt das anfängliche Laden der Köder-URLs auf den Phishing-URL-Domains von der Kernlogik (*.sslip.io). zeigt einen ausgeklügelten, mehrschichtigen Ansatz, der auf operative Effizienz und Resilienz ausgelegt ist.

Infrastruktur, die bei Kontoübernahmeaktivitäten verwendet wird

Okta Threat Intelligence beobachtete mehrere Versuche, gehackte Accounts zu erlangen, im Anschluss an erfolgreiche VoidProxy-Phishing-Kampagnen.

Versuche zur Übernahme gehackter Accounts waren erfolgreich gegen Benutzer, die sich auf nicht phishing-resistente MFA-Methoden (wie OTPs und Push-Anfragen) verlassen. Die AitM-Funktionen von VoidProxy ermöglichen es den Angreifern, diese Einmalcodes und Push-Benachrichtigungen in Echtzeit abzufangen und weiterzuleiten, wodurch die MFA-Herausforderung effektiv umgangen wird.

Im Gegensatz dazu hat Okta FastPass alle gehackter Account-Versuche erfolgreich verhindert. FastPass bindet die Authentifizierung an die legitime Domain und das Gerät, wodurch es für AitM-Proxys unmöglich wird, gültige Sessioninformationen abzufangen und wiederzugeben.

Dies demonstriert die entscheidende Bedeutung des Einsatzes von Phishing-resistenter MFA (Multifaktor-Authentifizierung), um Bedrohungen durch hochentwickelte PhaaS-Plattformen wie VoidProxy wirksam zu begegnen.

Nach einer erfolgreichen Kompromittierung von Anmeldedaten wurde beobachtet, dass der/die Angreifer versuchten, sich von IPs aus zu authentifizieren, die überwiegend in den folgenden ASNs gehostet wurden:

• AS36352 - HostPapa
• AS149440 - Evoxt Enterprise
• AS210558 - 1337 Services GmbH
• AS401120 - cheapy.host LLC
• AS23470 - ReliableSite.Net LLC

Das VoidProxy Administrator-Panel

Die Analyse des Phishing-Kits zeigt ein voll ausgestattetes Administrationspanel, mit dem PhaaS-Kunden ihre Kampagnen verwalten und überwachen können. Dieses Panel bietet eine umfassende Schnittstelle für die Orchestrierung von Angriffen und das Sammeln gestohlener Daten.

Verknüpfung von VoidProxy mit Untergrundidentitäten

Nach der Analyse der Kampagne untersuchte Okta Threat Intelligence das Underground-Ecosystem auf Aktivitäten, die diese neuartige PhaaS-Plattform mit einem bestimmten Angreifer in Verbindung bringen könnten.

Die Untersuchung ergab eine Telegram-Nachricht vom August 2024, die auf dem Kanal „BIGFATCHAT™“ veröffentlicht wurde – einem Kanal, der dafür bekannt ist, Betrüger zu beherbergen, wo ein Benutzer unter dem Namen VOID einen Dienst anbot, um „alle 2FA zu umgehen“.

Reaktion auf Bedrohungen

Was wir tun:
Wir sind aktiv an den folgenden Aktivitäten beteiligt, um diese Bedrohung zu mindern:

• Kontinuierliche Überwachung neu registrierter Phishing-Domains und der Infrastruktur, die mit dieser Kampagne verbunden ist.
• Proaktives Einreichen von Missbrauchsmeldungen bei relevanten Registraren und Hosting-Providern, um Anträge auf Entfernung identifizierter schädlicher Websites einzuleiten.
• Kontinuierliche Zufuhr relevanter Bedrohungsindikatoren in Okta Identity Threat Protection mit Okta Al.
• Bereitstellung von Anleitung und Unterstützung für Organisationen, um die Sicherheit ihrer Okta-Umgebungen zu verbessern und verdächtige Aktivitäten im Zusammenhang mit potenziell kompromittierten Konten zu untersuchen.

Schutzkontrollen

Empfehlungen für Kunden

• Registrieren Sie Benutzer bei starken Authentifizierungsfaktoren wie Okta FastPass, FIDO2 WebAuthn und Smartcards, und erzwingen Sie Phishing-Resistenz in der Richtlinie. Wenn Ausnahmen für Okta Verify Push-Benachrichtigungen gemacht werden, empfehlen wir, Zahlenherausforderungen für alle Anmeldeversuche oder für risikoreiche Anmeldeversuche zu erzwingen.
• Okta-Authentifizierungsrichtlinien können auch verwendet werden, um den Zugriff auf User Accounts basierend auf einer Reihe von vom Kunden konfigurierbaren Voraussetzungen einzuschränken. Wir empfehlen Administratoren, den Zugriff auf sensible Anwendungen auf Geräte zu beschränken, die von Endpoint Management-Tools verwaltet werden und durch Endpoint-Sicherheitstools geschützt sind. Fordern Sie für den Zugriff auf weniger sensible Anwendungen registrierte Geräte (mit Okta FastPass) an, die Indikatoren für grundlegende Sicherheitspraktiken aufweisen.
• Verweigern Sie oder fordern Sie ein höheres Höchstmaß an Sicherheit für Anfragen aus selten genutzten Netzwerken an. Mit Okta Network Zones kann der Zugriff nach Standort, ASN (Autonomous System Number), IP und IP-Typ (der bekannte Anonymisierungs-Proxys identifizieren kann) gesteuert werden.
• Okta Behavior- und Risk-Evaluierungen können verwendet werden, um Anfragen für den Zugriff auf Anwendungen zu identifizieren, die von zuvor etablierten Mustern der Benutzeraktivität abweichen. Richtlinien können so konfiguriert werden, dass sie Anfragen mithilfe dieses Kontexts Step-up oder ablehnen.
• Schulen Sie die Benutzer, Indikatoren für verdächtige E-Mails, Phishing-Seiten und gängige Social-Engineering-Techniken zu erkennen, die von Angreifern verwendet werden. Erleichtern Sie es den Benutzern, potenzielle Probleme zu melden, indem Sie Endbenutzer-Benachrichtigungen und Meldungen über verdächtige Aktivitäten konfigurieren.
• Dokumentieren, propagieren und befolgen Sie einen standardisierten Prozess zur Validierung der Identität von Remote-Benutzern, die sich an den IT-Support wenden, und umgekehrt.
• Verwenden Sie einen "Zero Standing Privileges"-Ansatz für den administrativen Zugriff. Weisen Sie Administratoren benutzerdefinierte Administratorrollen mit den geringsten Berechtigungen zu, die für die täglichen Aufgaben erforderlich sind, und fordern Sie eine doppelte Autorisierung für den JIT-Zugriff (Just-In-Time) auf privilegiertere Rollen an.
• Wenden Sie IP Session Binding auf alle administrativen Apps an, um die Wiederholung gestohlener administrativer Sitzungen zu verhindern.
• Aktivieren Sie Geschützte Aktionen, um eine erneute Authentifizierung zu erzwingen, wenn ein Benutzer mit administrativen Rechten versucht, sensible Aktionen durchzuführen.

Beobachtung und Reaktion auf Phishing-Infrastruktur:

• Überprüfen Sie die Anwendungsprotokolle (Okta-Protokolle, Webproxys, E-Mail-Systeme, DNS-Server, Firewalls) auf Beweise für die Kommunikation mit solchen verdächtigen Domänen.
• Überwachen Sie die Domänen regelmäßig, um festzustellen, ob sich der Inhalt ändert.
• Wenn auf der Domain gehostete Inhalte Urheberrechte oder Schutzmarken verletzen, sollten Sie in Erwägung ziehen, Beweise vorzulegen und eine Entfernungsanfrage beim Domain-Registrar und/oder Webhosting-Provider zu stellen.