標題：W3LL網絡釣魚工具包劫持成千上萬個Microsoft 365帳戶 並繞過MFA

一夥名為W3LL的威脅分子開發了一個可以繞過多因素身份驗證的網絡釣魚工具包，還開發了入侵8000多個Microsoft 365企業帳戶的其他工具。

安全研究人員發現，在10個月內，W3LL的實用程序和基礎設施被用來搭建大約850個獨特的網絡釣魚網站，攻擊了56000餘個Microsoft 365帳戶的憑據。

發展壯大業務W3LL的定製網絡釣魚工具的服務對像是由至少500名網絡犯罪分子組成的社區，被用於商業電子郵件入侵（BEC）攻擊，造成了數百萬美元的經濟損失。

研究人員表示，W3LL的工具包幾乎涵蓋BEC行動的整條殺傷鏈，可以由“各種技術水平的網絡犯罪分子”操控。

網絡安全公司Group-IB在今天的一份報告中提供了有關W3LL的詳細信息，以及它如何發展成為對BEC組織而言最先進的惡意開發者之一。

表明W3LL活動的第一個證據似乎來自2017年，當時開發者開始提供一個用於電子郵件批量發送的自定義工具：W3LL SMTP Sender，用於發送垃圾郵件。

當開發者開始銷售針對Microsoft 365公司帳戶的定製網絡釣魚工具包時，這夥威脅分子的人氣和業務開始增長。

研究人員表示，2018年，W3LL推出了W3LL Store（說英文的交易平台），它可以在這裡向封閉的網絡犯罪分子社區推廣和銷售其工具。

Group-IB表示：“W3LL的主要武器W3LL Panel可以被認為是同類中最先進的網絡釣魚工具包之一，擁有中間攻擊者功能、API、源代碼保護及其他獨特功能。”

用於BEC攻擊的W3LL武器庫除了旨在繞過多因素身份驗證（MFA）的W3LL Panel外，威脅分子還提供了另外16個工具，所有這些工具都用於BEC攻擊。目錄包括如下：

•SMTP發送工具PunnySender和W3LL Sender

•惡意鏈接加載器（stager）W3LL Redirect

•一個名為OKELO的漏洞掃描器

•一個名為CONTOOL的帳戶自動發現實用程序

•一個名為LOMPAT的電子郵件驗證器

據Group-IB聲稱，W3LL Store提供了部署BEC攻擊的解決方案，從挑選受害者的初始階段，帶武器化附件（默認或定制）的網絡釣魚誘餌，到發送進入到受害者收件箱中的網絡釣魚郵件。

研究人員表示，W3LL有足夠嫻熟的技術，可以通過將工具部署和託管在受感染的Web服務器和服務上，保護工具不被檢測或關閉。

然而，客戶也可以選擇使用W3LL的OKELO掃描器來查找易受攻擊的系統，並自行獲得訪問權限。

圖1. 使用W3LL工具的BEC攻擊殺傷鏈（圖片來源：Group-IB）

繞過過濾器和安全代理W3LL用來繞過電子郵件過濾器和安全代理的一些技術包括針對電子郵件標題和文本主體（Punycode、HTML標籤、圖像和遠程內容鏈接）的各種混淆方法。

初始網絡釣魚鏈接也使用多種逃避檢測的方法來投遞。一種方法是通過網絡釣魚附件，而不是通過將它們嵌入在電子郵件正文中。

研究人員發現，鏈接被放在一個作為附件出現的HTML文件中。當受害者啟動惡意的HTML（可能偽裝成文檔或語音信息）時，會打開一個瀏覽器窗口，顯示“看起來像真的MS Outlook動畫”。

這是準備收集Microsoft 365帳戶憑據的W3LL Panel網絡釣魚頁面。

Group-IB分析了在野外發現的W3LL網絡釣魚附件後，注意到它是一個HTML文件，通過使用借助base64編碼混淆的JavaScript，在iframe中顯示了網站。

圖2. 在野外觀察到的W3LL網絡釣魚附件（圖片來源：Group-IB）

在6月底更新的新版本中，W3LL添加了多層混淆和編碼。它直接從W3LL Panel加載腳本，而不是將其包含在HTML代碼中。

最新版變體的事件鍊是這樣的：

圖3. 更新後的W3LL網絡釣魚附件（圖片來源：Group-IB）

劫持Microsoft 365企業帳戶Group-IB研究人員解釋，網絡釣魚誘餌中的初始鏈接並不導致W3LL Panel中虛假的Microsoft 365登錄頁面，它只是一條重定向鏈的開始，旨在防止發現W3LL Panel網絡釣魚頁面。

W3LL為了入侵Microsoft 365帳戶，使用了中間攻擊者/中間人（AitM/MitM）技術，即受害者和Microsoft服務器之間的通信通過W3LL Panel進行，W3LL Store充當後端系統。

目標是獲取受害者的身份驗證會話cookie。為了實現這一點，W3LL Panel需要經過幾個步驟，其中包括：

•通過CAPTCHA驗證

•創建正確的虛假登錄頁面

•驗證受害者的帳戶

•獲得目標組織的品牌標識

•獲取登錄過程的cookie

•識別帳戶類型

•驗證密碼

•獲取一次性密碼（OTP）

•獲取完成身份驗證的會話cookie

在W3LL Panel獲得身份驗證會話cookie後，該帳戶被入侵，並向受害者顯示一個PDF文檔，讓登錄請求看起來合法。

帳戶發現階段使用CONTOOL，攻擊者可以自動查找受害者使用的電子郵件、電話號碼、附件、文檔或URL，這可能有助於橫向移動階段。

該工具還可以監控、過濾和修改入站電子郵件，以及根據特定關鍵字接收Telegram帳戶通知。

據Group-IB聲稱，這種攻擊的典型結果是：

•數據盜取

•附有攻擊者付款信息的虛假髮票

•冒充專業服務人員向客戶發送欺詐性付款請求

•典型的BEC欺詐——訪問高管帳戶，並代表他們指示員工進行電匯或購物

•分發惡意軟件

牟取錢財Group-IB的報告深入研究了W3LL Panel的功能，從技術層面描述了一些功能如何實現預期目的，無論是逃避檢測還是收集數據。

W3LL Panel在開發者眼裡就是“皇冠上的寶石”，三個月收費500美元，每月續訂價格為150美元。還必須購買許可證以激活它。

以下是購買工具包和管理面板的頁面：

圖4. W3LL Store和W3LL Panel管理（圖片來源：Group-IB）

W3LL威脅分子已經存在了大約五年，積累了超過500名網絡犯罪分子的客戶群，有超過12000種工具可供選擇。

除了網絡釣魚和BEC相關的工具外，W3LL還提供權限，以便訪問被入侵的Web服務（web shell、電子郵件和內容管理系統）、SSH及RDP服務器、託管及雲服務帳戶、企業電子郵件域、VPN帳戶以及被劫持的電子郵件帳戶。

Group-IB的研究人員表示，在2022年10月至2023年7月這段期間，W3LL賣出了3800多個工具，估計營業額超過了50萬美元。