黑客滥用 Ngrok 平台进行网络钓鱼攻击
威胁情报公司Cyble的研究人员发现了针对特定组织的新一轮网络钓鱼攻击,这些组织正在滥用ngrok平台,这是通往本地主机的安全且自省的隧道。
ngrok是用于将本地开发服务器公开到Internet的跨平台应用程序,通过创建到本地主机的长期TCP隧道,该服务器似乎托管在ngrok的子域(例如,4f421deb219c[.]ngrok[.]io)上。专家指出,ngrok服务器软件运行在VPS或专用服务器上,可以绕过NAT映射和防火墙限制。
威胁参与者正在出于多种恶意目的滥用该协议。
“多个威胁行为者滥用ngrok平台来未经授权地访问目标,以提供额外的有效载荷,泄露财务数据(例如信用卡/借记卡信息)以及进行针对性的网络钓鱼攻击。” 阅读Cyble发表的帖子。
专家指出,很难检测到滥用ngrok平台的攻击,因为与ngrok.com子域的连接没有通过安全措施过滤。
专家们提供了由网络犯罪组织和Fox Kitten和Pioneer Kitten APT团体等国家级参与者进行的基于ngrok的攻击列表。
专家报告了滥用ngrok隧道的多种恶意软件和网络钓鱼活动。
使用ngrok隧道传输的一些新恶意软件/网络钓鱼活动包括:
- Njrat
- DarkComet
- Quasar RAT
- asynrat
- Nanocore RAT
Cyble专注于滥用ngrok.io进行网络钓鱼攻击的威胁参与者。
“有趣的是,我们发现在黑暗网络市场/泄漏和网络犯罪论坛中,有多个威胁参与者(例如BIN CARDERS,Telegramcarder数据和linlogpass)使用了多个ngrok.io链接。” 塞伯勒继续说。
Cyble还发现了一个在网络犯罪论坛上做广告的网络钓鱼工具套件,名为“ KingFish3”。专家发现,威胁参与者在论坛上分享了Github与该工具的链接,该链接也滥用ngrok隧道进行攻击。
根据专家确定的步骤,滥用ngrok隧道并进行网络钓鱼攻击:
- 该工具使用ngrok创建到具有指定端口的所选网络钓鱼URL的隧道。
- 黑客在第一个会话中跟踪实时日志,并等待受害者输入他们的电话号码。
- 然后,黑客使用收集的凭据登录到受影响的应用程序的官方站点,并生成OTP(2FA)。
- 然后,受害者将收到的OTP输入到网络钓鱼站点中,然后由黑客捕获。
- 最后,黑客可以使用OTP(2FA)访问受害者的官方帐户。
该帖子包括基于ngrok的网络钓鱼威胁指标(IOC)的部分列表。
以下是Cyble专家的建议:
- 建议ngrok和其他隧道服务的用户从其信息安全团队获得授权。
- 建议使用密码保护其隧道访问并启用IP白名单以将访问限制为仅信任IP地址。
- 尽可能并切合实际地打开计算机,移动设备和其他连接的设备上的自动软件更新功能。
- 定期监视您的财务交易,如果发现任何可疑活动,请立即与您的银行联系。
- 在连接的设备(包括PC,笔记本电脑和移动设备)上使用知名的防病毒和Internet安全软件包。
- 担心自己暴露在Dark网络中的人们可以在AmiBreached.com上进行注册, 以确定他们的暴露程度。
- 不要在不验证其真实性的情况下打开不受信任的链接和电子邮件附件。
