Categoria: Inteligência do adversárioIndústria: Transporte e logísticaPaís: ÍndiaFonte*: A2

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• As PII do usuário foram comprometidas devido a uma vulnerabilidade de divulgação não autorizada de informações na página de registro da Akasa Air.
• Não Os registros DMARC são disponível para o domínio.

• Ataques de phishing contra usuários afetados.
• Os agentes maliciosos serão equipados com os detalhes necessários para lançar ataques sofisticados de ransomware.

• Implemente uma política de senha forte e ative a MFA.
• Publique registros DMARC.
• Corrija endpoints vulneráveis e exploráveis.

Análise investigativa

• Em 07 de agosto de 2022, Ashutosh Barot descobriu uma vulnerabilidade de divulgação não autorizada de informações que permitia que agentes de ameaças acessassem os dados do cliente na página de registro da Akasa Air (akasaair [.] com)
• A Akasa Air, uma marca da SNV Aviation Private Limited, é uma companhia aérea indiana de baixo custo com sede em Mumbai, Maharashtra, Índia.
• As PII do cliente, como nome, e-mail, número de telefone e sexo, foram reveladas.

Descrição da vulnerabilidade

• A página de registro da Akasa Air permitia que os usuários se inscrevessem fornecendo seu nome, e-mail, número de telefone e sexo.
• Depois de criar o perfil e fazer login, uma solicitação HTTP nas respostas de arroto revelou todas as PII preenchidas no formato JSON.
• Ao alterar alguns parâmetros na solicitação de arroto, o site revelou as PII de outros clientes da Akasa Air.
• Embora a companhia aérea tenha resolvido o problema em duas semanas, os agentes de ameaças podem tê-lo explorado e compartilhado os dados em fóruns de crimes cibernéticos.

Registros DMARC ausentes

• Após uma investigação mais aprofundada, CloudSEKA equipe de Pesquisa de Inteligência de Ameaças descobriu que faltavam os registros DMARC para o domínio akasaair [.] com.
• Os registros DMARC são registros de texto (TXT) que ajudam a receber servidores que lidam com e-mails não alinhados.
• Por padrão, o SMTP não tem nenhuma proteção contra endereços “de” falsos.
• Assim, domínios com registros DMARC ausentes podem ser usados indevidamente por agentes de ameaças, em campanhas de phishing, para enviar e-mails falsos, colocando o domínio exato no campo 'de'.
• Vários domínios, como os mencionados abaixo, podem ser abusados no futuro para se passar pela Akasa Air.

akasaair.clubflyakasaair.com makasaair.infoakasaair.orgakasaairline.asiaakasaair.onlineakasaair.netakasaairways.asiaakasaairways.netakasaair.coakasaairline.netakasaair.managementcareerakasaair.comDomínios que podem ser usados para se passar pela Akasa air

Leitura relacionada Webhooks negligenciados exploram vulnerabilidade de endpoint nos canais do Slack

Possíveis campanhas futuras

• As PII coletadas podem ser usadas para conduzir várias campanhas maliciosas.
• Duplicatas falsas de sites e domínios associados ao Akasa, como akasaindia [.] net ou akasaairlinesindia [.] com pode ser feito por agentes de ameaças para atingir os clientes usando as PII comprometidas.
• Indivíduos comprometidos podem ser alvo de e-mails maliciosos que escondem ladrões, botnets, ratos ou malware no lugar de documentos legítimos.

Impacto e mitigação

ImpactoMitigação

• A falta de registros DMARC pode permitir que os atores enviem e-mails falsos com o nome de domínio da Akasa Air.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware, extrair dados e manter a persistência.
• Os dados roubados podem ser vendidos em fóruns de crimes cibernéticos para obter benefícios monetários.
• As PII sensíveis exfiltradas podem ser usadas contra os indivíduos afetados para realizar:
  • Phishing/Smishing
  • Ataques de engenharia social
  • Roubo de identidade

• Implemente uma política de senha forte e ative a MFA (autenticação multifator).
• Configure registros DMARC para o domínio.
• Corrija endpoints vulneráveis e exploráveis.
• Monitore anomalias nas contas dos usuários, o que pode indicar possíveis aquisições de contas.
• Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

Leitura relacionada Ator de ameaças que alega ter comprometido a IBM e a Universidade de Stanford divulga seus TTPs

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Como eu (eticamente) hackeei uma companhia aérea em seu dia inaugural

Apêndice

[caption id="attachment_20519" align="aligncenter” width="600"] Captura de tela da página de inscrição da Akasa Air [/caption] [caption id="attachment_20520" align="aligncenter” width="1215"] Um exemplo de um agente de ameaças compartilhando PII de indivíduos de uma violação em um fórum de crimes cibernéticos [/caption] [caption id="attachment_20521" align="aligncenter” width="1920"] Possíveis campanhas futuras [/caption] [caption id="attachment_20522" align="aligncenter” width="1154"] Suposto e-mail da Akasa Air para um cliente [/caption]