威胁情报公司 Cyble 的研究人员发现了针对特定组织的新一轮网络钓鱼攻击,这些组织正在滥用 ngrok 平台,这是通往本地主机的安全且自省的隧道。
ngrok 是用于将本地开发服务器公开到 Internet 的跨平台应用程序,通过创建到本地主机的长期 TCP 隧道,该服务器似乎托管在 ngrok 的子域 (例如,4f421deb219c[.]ngrok[.]io) 上。专家指出,ngrok 服务器软件运行在 VPS 或专用服务器上,可以绕过 NAT 映射和防火墙限制。
威胁参与者正在出于多种恶意目的滥用该协议。
“多个威胁行为者滥用 ngrok 平台来未经授权地访问目标,以提供额外的有效载荷,泄露财务数据(例如信用卡 / 借记卡信息)以及进行针对性的网络钓鱼攻击。” 阅读 Cyble 发表的帖子。
专家指出,很难检测到滥用 ngrok 平台的攻击,因为与 ngrok.com 子域的连接没有通过安全措施过滤。
专家们提供了由网络犯罪组织和 Fox Kitten 和 Pioneer Kitten APT 团体等国家级参与者进行的基于 ngrok 的攻击列表。
专家报告了滥用 ngrok 隧道的多种恶意软件和网络钓鱼活动。
使用 ngrok 隧道传输的一些新恶意软件 / 网络钓鱼活动包括:
- Njrat
- DarkComet
- Quasar RAT
- asynrat
- Nanocore RAT
Cyble 专注于滥用 ngrok.io 进行网络钓鱼攻击的威胁参与者。
“有趣的是,我们发现在黑暗网络市场 / 泄漏和网络犯罪论坛中,有多个威胁参与者(例如 BIN CARDERS,Telegramcarder 数据和 linlogpass)使用了多个 ngrok.io 链接。”