Захват веб-порталов - это техника, при которой злоумышленники модифицируют веб-порталы для перехвата и кражи учетных данных пользователей. Внедряя вредоносный код на страницы входа, они могут перехватить данные, введенные ничего не подозревающими пользователями. Эта техника может использоваться при первых попытках доступа или после компрометации для поддержания доступа с использованием действительных учетных данных. Она основана на возможности изменять файлы портала или внедрять скрипты в веб-приложения.
Перехват ввода: Захват веб-портала
Злоумышленники используют эту технику, устанавливая вредоносный код на внешние порталы, такие как страницы входа в VPN, для кражи учетных данных пользователей. Модифицированный код перехватывает и регистрирует введенные пользователями учетные данные, но при этом позволяет им войти в систему, что сводит к минимуму подозрения. Эта техника может использоваться после компрометации, когда злоумышленники уже имеют административный доступ, в качестве резервного механизма для сохранения доступа через действительные учетные записи и внешние удаленные службы. Или же она может быть частью первоначальной компрометации, используя уязвимости во внешних веб-службах для внедрения вредоносных скриптов. Это позволяет злоумышленникам получить или сохранить несанкционированный доступ к сети.
В январе 2024 года было обнаружено, что злоумышленники использовали две уязвимости нулевого дня в Ivanti Connect Secure VPN для сбора учетных данных с помощью техники Web Portal Capture. Атакующие использовали обход аутентификации (CVE-2023-46805) и недостаток инъекции команд (CVE-2024-21887) для получения несанкционированного доступа к удаленному выполнению кода. Используя этот доступ, они модифицировали легитимный JavaScript-файл, связанный с процессом входа в Web SSL VPN. Измененный скрипт перехватывал учетные данные пользователя, введенные в процессе входа в систему, и передавал их в контролируемый атакующими домен.
После первых атак многочисленные угрожающие группы начали массово использовать эти уязвимости, внедряя пользовательское вредоносное ПО для продолжения своей шпионской деятельности. Такое широкое распространение уязвимостей подчеркивает важность защиты веб-порталов от подобных методов сбора учетных данных.