Pokud jste klientem Microsoftu, dejte si pozor na phishingové schéma SEABORGIUM

Právě když jste si mysleli, že nejnovější Opravte úterní bezpečnostní aktualizace pokryl téměř všechny mezery v obranné síti Microsoftu, přináší tento technologický gigant více znepokojivých zpráv.

Threat Intelligence Center, neboli MSTIC, redmondské společnosti vydalo vážné varování před phishingovou kampaní tzv. SEABORGIUM.

Pro bezpečnostní experty to není novinka, protože toto schéma existuje v podstatě od roku 2017, Microsoft udělal blogový příspěvek ohledně SEABORGIA.

Chystáme se vám ukázat způsoby, jak funguje, tím, že se podíváme na některé komplexní pokyny, které by mohly potenciálním obětem pomoci se tomu vyhnout.

Jak funguje phishingové schéma SEABORGIUM?

Víme, že se nyní pravděpodobně ptáte, proč je tato phishingová kampaň pro uživatele Microsoftu tak nebezpečná.

Měli byste vědět, že je to vlastně způsob, jakým škodlivé třetí strany iniciují útok. Za prvé, bylo vidět, že provádějí průzkum nebo důkladné pozorování potenciálních obětí pomocí podvodných profilů na sociálních sítích.

V důsledku toho je také vytvořeno mnoho e-mailových adres za účelem zosobnění skutečných ID autentických osob pro kontaktování vybraných cílů.

Nejen to, ale potenciálně škodlivé e-maily mohou také pocházet od takzvaných důležitých bezpečnostních firem, které nabízejí vzdělávání uživatelů v oblasti kybernetické bezpečnosti.

Microsoft také uvedl, že hackeři SEABORGIUM doručují škodlivé adresy URL přímo v e-mailu nebo prostřednictvím příloh, přičemž často napodobují hostingové služby, jako je vlastní OneDrive společnosti Microsoft.

Kromě toho technický gigant také nastínil použití phishingové sady EvilGinx v tomto případě, která se používá ke krádeži přihlašovacích údajů obětí.

Jak společnost uvedla, v nejjednodušším případě SEABORGIUM přímo přidá adresu URL do těla jejich phishingového e-mailu.

Čas od času však škodlivé třetí strany využívají zkracovače adres URL a otevírají přesměrování, aby zatemnily své adresy URL z cílových a inline ochranných platforem.

E-mail se liší mezi falešnou osobní korespondencí s hypertextovým textem a falešnými e-maily pro sdílení souborů, které napodobují řadu platforem.

Bylo pozorováno, že kampaň SEABORGIUM používá odcizené přihlašovací údaje a přímo se přihlašuje k e-mailovým účtům obětí.

Na základě zkušeností odborníků na kybernetickou bezpečnost, kteří reagují na průniky tohoto aktéra jménem našich zákazníků, společnost potvrdila, že následující činnosti jsou běžné:

• Exfiltrace zpravodajských dat: SEABORGIUM bylo pozorováno, jak exfiltruje e-maily a přílohy z doručené pošty obětí.
• Nastavení trvalého sběru dat: V omezených případech bylo pozorováno, že SEABORGIUM nastavilo pravidla pro přeposílání z doručených zpráv obětí na účty mrtvého hráče ovládané hercem, kde má aktér dlouhodobý přístup ke shromážděným údajům. Při více než jedné příležitosti jsme zaznamenali, že aktéři měli přístup k datům z mailing listu pro citlivé skupiny, jako jsou např. navštěvují bývalí zpravodajští úředníci a udržovat sbírku informací z mailing listu pro následné cílení a exfiltrace.
• Přístup k zájemcům: Vyskytlo se několik případů, kdy bylo SEABORGIUM pozorováno pomocí jejich účtů pro zosobnění k usnadnění dialogu konkrétní zájmové osoby a v důsledku toho byli zahrnuti do konverzací, někdy nevědomky, zahrnujících více stran. Povaha konverzací zjištěných během vyšetřování společností Microsoft prokazuje potenciálně citlivé sdílení informací, které by mohly poskytnout zpravodajskou hodnotu.

Co mohu udělat, abych se ochránil před SEABORGIEM?

Všechny výše uvedené techniky, o kterých Microsoft řekl, že je používají hackeři, lze ve skutečnosti zmírnit přijetím bezpečnostních opatření uvedených níže:

• Zkontrolujte nastavení filtrování e-mailů Office 365 a ujistěte se, že blokujete falešné e-maily, spam a e-maily s malwarem.
• Nakonfigurujte Office 365 tak, aby deaktivovalo automatické přeposílání e-mailů.
• Pomocí přiložených indikátorů kompromisu prozkoumejte, zda existují ve vašem prostředí, a vyhodnoťte potenciální narušení.
• Zkontrolujte všechny aktivity ověřování pro infrastrukturu vzdáleného přístupu se zvláštním zaměřením na účty nakonfigurován s jednofaktorovou autentizací pro potvrzení pravosti a prozkoumání jakýchkoli anomálií aktivita.
• Vyžadovat vícefaktorovou autentizaci (MFA) pro všechny uživatele přicházející ze všech míst, včetně vnímaných důvěryhodná prostředí a veškerou internetovou infrastrukturu – dokonce i ty pocházející z místních provozů systémy.
• Využijte bezpečnější implementace, jako jsou tokeny FIDO nebo Microsoft Authenticator s párováním čísel. Vyhněte se metodám MFA založeným na telefonování, abyste se vyhnuli rizikům spojeným se SIM-jackingem.

Pro zákazníky Microsoft Defender pro Office 365:

• Použijte Microsoft Defender pro Office 365 pro vylepšenou ochranu proti phishingu a pokrytí proti novým hrozbám a polymorfním variantám.
• Povolte nulové automatické čištění (ZAP) v Office 365 pro karanténu odeslané pošty v reakci na nově získanou hrozbu inteligenci a zpětně neutralizovat škodlivé phishingové, spamové nebo malwarové zprávy, které již byly doručeny do poštovních schránek.
• Nakonfigurujte Defender pro Office 365 tak, aby po kliknutí znovu zkontroloval odkazy. Bezpečné odkazy umožňují skenování a přepisování adres URL příchozích e-mailových zpráv v toku pošty a ověřování času kliknutí na Adresy URL a odkazy v e-mailových zprávách, jiných aplikacích Office, jako jsou Teams, a dalších umístěních, jako je SharePoint Online. Prověřování bezpečných odkazů probíhá jako doplněk k běžné ochraně proti spamu a malwaru v příchozích e-mailových zprávách v rámci Exchange Online Protection (EOP). Prověřování bezpečných odkazů může pomoci chránit vaši organizaci před škodlivými odkazy, které se používají při phishingu a dalších útocích.
• Použijte Attack Simulator v Microsoft Defenderu pro Office 365 ke spouštění realistických, ale bezpečných, simulovaných phishingových a hesel útoků ve vaší organizaci. Spusťte simulace spear-phishing (sběr pověření), abyste koncové uživatele naučili klikat na adresy URL v nevyžádaných zprávách a zveřejňovat jejich pověření.

S ohledem na toto vše byste si měli dvakrát rozmyslet, než otevřete jakýkoli typ přílohy, která přichází v e-mailu z pochybného zdroje.

Možná si myslíte, že jednoduché kliknutí je neškodné, ale ve skutečnosti je to vše, co útočníci potřebují k infiltraci, kompromitaci a využití vašich dat.

Zaznamenali jste v poslední době nějakou podezřelou aktivitu? Podělte se s námi o své zkušenosti v sekci komentářů níže.