Pada bulan Februari 2023, kerentanan BIG-IP CVE-2023-22418 dilaporkan tentang server virtual yang diaktifkan dengan kebijakan akses AIM BIG-IP yang memungkinkan penyerang membuat URL pengalihan terbuka. Ada kemungkinan bahwa kerentanan disalahgunakan dalam kasus ini untuk dialihkan ke domain perantara.
Pengalihan kedua terjadi saat URL yang dihosting di "frudyj.codesandbox[.]io" menggunakan 'windows.location.replace' dalam respons Javascript untuk mengalihkan ke halaman phishing yang dihosting di "gw8aes.office-docs[.]net":
Dengan menambahkan server pengalihan tambahan, pelaku ancaman memastikan bahwa domain phishing tidak terlihat melalui analisis URL awal dari solusi keamanan, menggunakan daftar hitam untuk domain phishing yang diketahui. Infrastruktur phishing terakhir dihosting di ruang server nama Cloudflare, dan ASN dengan pendaftar 'NICENIC INTERNATIONAL GROUP CO., LIMITED'.
Untuk menghindari analisis sandbox, URL phishing mencoba memvalidasi interaksi manusia dengan menggunakan layanan CAPTCHA sebelum memuat konten phishing yang sebenarnya.
Pelaku ancaman menggunakan informasi registrar dan ASN, bersama dengan kata kunci khas untuk domain M365, dapat diidentifikasi lebih banyak IOC yang ditautkan ke varian kampanye ini, beberapa di antaranya masih memuat CAPTCHA dan halaman phishing serupa pada saat penulisan.
2. Neighbouring Campaigns
Merupakan suatu kampanye spoofing notifikasi Microsoft serupa yang terlacak menggunakan layanan Cloudflare CDN. Kampanye ini pertama kali diamati pada awal 2023 dan terlihat menggunakan domain yang terdaftar di pencatat Rusia 'R01-RU' dengan TLD '.ru' dan menggunakan CDN Cloudflare. Kampanye ini pertama kali dicatat di Twitter pada 10 Januari:
Investigasi infrastruktur mengungkapkan pola domain TLD '.ru' yang terlibat dalam kampanye phishing serupa. Setiap domain mendaftarkan beberapa subdomain dengan awalan alfanumerik acak 23 karakter yang digunakan. Operator phishing terus memilih dari kumpulan subdomain yang terdaftar pada setiap domain.Â
Meskipun awalnya memuat tanpa CAPTCHA, semua iterasi terbaru menyertakan pemeriksaan serupa sebelum memuat laman phishing yang sama sebagai berikut: