威脅情報公司Cyble的研究人員在一次新的網路釣魚活動中發現了濫用Ngrok平臺的威脅行為者。

威脅情報公司Cyble的研究人員發現了針對多個濫用ngrok平臺的組織的新一波網路釣魚攻擊，ngrok平臺是通往本地主機的一個安全且可自省的隧道。

ngrok是一個跨平臺應用程式，用於將本地開發伺服器公開到Internet，透過建立到本地主機的長壽命TCP隧道，該伺服器似乎託管在ngrok的子域（例如4f421deb219c[.]ngrok[.]io）上。專家們指出，ngrok伺服器軟體執行在VPS或專用伺服器上，可以繞過NAT對映和防火牆限制。

圖源自圖蟲創意

威脅行為體正在為多種惡意目的濫用協議。

專家指出，濫用ngrok平臺的攻擊很難被發現，因為連線到ngrok的子域ngrok.com網站不會被安全措施過濾。

專家們提供了一份由網路犯罪組織和國家規定的行為者（如Fox Kitten和Pioneer Kitten APT組織）實施的基於ngrok的攻擊清單。

專家們報告了多個惡意軟體和網路釣魚活動濫用ngrok隧道，包括

使用ngrok隧道的惡意軟體/網路釣魚活動的一些新變種：

Njrat公司暗度計類星體大鼠阿辛拉特奈米核心大鼠

Cyble關注的是施暴者的威脅ngrok.io公司提供網路釣魚攻擊。

“有趣的是，我們發現ngrok.io公司Cybler繼續說：“不同的威脅參與者，如BIN CARDERS、Telegram-carderdata和linlogpass，在darkweb市場/洩密和網路犯罪論壇中使用的連結。”。

Cyble還發現了一個名為“KingFish3（Social master）”的網路釣魚工具包，它在一個網路犯罪論壇上做了廣告。專家們發現，一名威脅參與者在論壇上分享了該工具的Github連結，該工具還濫用ngrok隧道實施攻擊。

以下是專家們確定的濫用ngrok隧道和實施網路釣魚攻擊的步驟：該工具使用ngrok建立一個隧道，指向具有指定埠的選定仿冒URL。駭客在第一個會話中跟蹤實時日誌，並等待受害者輸入他們的電話號碼。然後，駭客使用獲取的憑據登入到受影響應用程式的官方網站，並生成一個OTP（2FA）。然後，受害者將收到的OTP輸入駭客捕獲的釣魚網站。最後，駭客可以使用OTP（2FA）訪問受害者的官方賬戶。

這篇文章包括一部分基於ngrok的網路釣魚危害指標（IOCs）。

以下是Cyble專家的建議：建議ngrok和其他隧道服務的使用者從其資訊保安團隊獲得授權。建議對其隧道訪問進行密碼保護，並啟用IP白名單以限制僅對受信任的IP地址的訪問。在可能和實用的情況下，在計算機、移動裝置和其他連線的裝置上啟用自動軟體更新功能。定期監控您的金融交易，如果您發現任何可疑活動，請立即與您的銀行聯絡。在連線的裝置（包括PC、膝上型電腦和手機）上使用知名的防病毒和網際網路安全軟體包。擔心自己暴露在黑暗網路中的人可以在amibreaked.com網站以確定他們的暴露。避免開啟不受信任的連結和電子郵件附件，而不驗證其真實性。

【參考來源：securityaffairs.co】