Operation HookedWing
A SOCRadar által feltárt egy legalább 2022 óta aktív, eddig nem dokumentált, több szektort célzó adathalász művelet, amely több mint 500 szervezetet és legalább 2000 felhasználói hitelesítő adatot érintett világszerte. A kampány különösen a légiközlekedési, kormányzati, energetikai és kritikus infrastruktúra szektorra fókuszált.
A művelet technikai szempontból egy saját fejlesztésű phishing kitre épül, amely hosszú éveken át ugyanazokat az alapmintázatokat használta, miközben az infrastruktúrát folyamatosan rotálták és fejlesztették. A támadók legitim platformokat, elsősorban github.io, később Vercel és más cloud hosting szolgáltatásokat, használtak phishing landing oldalak hosztolására, miközben kompromittált vállalati szervereket is bevontak C2 és adatgyűjtési célokra.
A phishing lánc jellemzően HR-, Microsoft-, Outlook- vagy dokumentummegosztási témájú e-mailekkel indult. A landing oldalak teljes képernyős Outlook-szimulációt jelenítettek meg, és dinamikusan személyre szabott elemeket töltöttek be a célzott szervezet neve alapján, növelve a hitelességet. A háttérben futó script ellenőrizte az e-mail címet, geolokációs adatokat gyűjtött, majd dinamikusan injektált PHP formokon keresztül exfiltrálta a credentialeket.
A SOCRadar több mint húsz C2 infrastruktúrát és száz feletti phishing disztribúciós domaint azonosított. Az infrastruktúraelemzés alapján a kompromittált szervezetek között magas geopolitikai és operatív jelentőségű entitások szerepeltek, ami arra utal, hogy a megszerzett hitelesítő adatok hírszerzési, hozzáférés-kereskedelmi vagy további célzott műveletek alapját képezhették.
