Pas på SEABORGIUM phishing-ordningen, hvis du er en Microsoft-klient

Lige da du troede, at den seneste Patch tirsdag sikkerhedsopdateringer dækkede stort set alle huller i Microsofts forsvarsnetværk, bringer teknologigiganten mere foruroligende nyheder.

Redmond-virksomhedens Threat Intelligence Center, eller MSTIC, har udsendt en alvorlig advarsel om en phishing-kampagne kaldet SEABORGIUM.

Dette er ikke en nyhed for sikkerhedseksperter, da denne ordning har eksisteret siden grundlæggende 2017, Microsoft gjorde en vigtig blogindlæg vedrørende SEABORGIUM.

Vi er ved at vise dig, hvordan det fungerer, ved at se på nogle omfattende vejledninger, der kan hjælpe potentielle ofre med at undgå det.

Hvordan fungerer SEABORGIUM phishing-ordningen?

Vi ved, at du nu sikkert spekulerer på, hvad der gør denne phishing-kampagne så farlig for Microsoft-brugere.

Nå, du skal vide, at det faktisk er måden, ondsindede tredjeparter indleder angrebet på. For det første er de blevet set for at foretage rekognoscering eller grundig observation af de potentielle ofre ved hjælp af svigagtige profiler på sociale medier.

Som et resultat bliver der også oprettet en masse e-mailadresser for at efterligne ægte ID'er for autentiske personer for at kontakte de valgte mål.

Ikke nok med det, men de potentielt skadelige e-mails kan også komme fra såkaldt vigtige sikkerhedsfirmaer, der tilbyder at uddanne brugere om cybersikkerhed.

Microsoft specificerede også, at SEABORGIUM-hackerne leverer ondsindede URL'er direkte i en e-mail eller via vedhæftede filer, der ofte efterligner hostingtjenester som Microsofts eget OneDrive.

Ydermere skitserede teknologigiganten også brugen af ​​EvilGinx-phishing-sættet i dette tilfælde, der blev brugt til at stjæle ofrenes legitimationsoplysninger.

Som virksomheden sagde, tilføjer SEABORGIUM i det enkleste tilfælde direkte en URL til brødteksten af ​​deres phishing-e-mail.

Men fra tid til anden udnytter ondsindede tredjeparter URL-forkortere og åbne omdirigeringer til at sløre deres URL fra mål- og inline-beskyttelsesplatformene.

E-mailen varierer mellem falsk personlig korrespondance med hyperlinket tekst og falske fildelings-e-mails, der efterligner en række platforme.

SEABORGIUM-kampagnen er blevet observeret for at bruge stjålne legitimationsoplysninger og logge direkte på offerets e-mail-konti.

Baseret på erfaringerne fra cybersikkerhedseksperter, der reagerede på indtrængen fra denne aktør på vegne af vores kunder, bekræftede virksomheden således, at følgende aktiviteter er almindelige:

• Eksfiltrering af efterretningsdata: SEABORGIUM er blevet observeret eksfiltrerende e-mails og vedhæftede filer fra ofrenes indbakke.
• Opsætning af vedvarende dataindsamling: I begrænsede tilfælde er SEABORGIUM blevet observeret ved at opsætte videresendelsesregler fra ofre-indbakker til aktørkontrollerede dead drop-konti, hvor aktøren har langsigtet adgang til indsamlede data. Ved mere end én lejlighed har vi observeret, at aktørerne var i stand til at få adgang til mailinglistedata for følsomme grupper, som f.eks. frekventeres af tidligere efterretningsofficerer og vedligeholde en samling af oplysninger fra mailinglisten til opfølgende målretning og eksfiltration.
• Adgang til personer af interesse: Der har været flere tilfælde, hvor SEABORGIUM er blevet observeret ved at bruge deres efterligningskonti for at lette dialogen med bestemte personer af interesse og som et resultat blev inkluderet i samtaler, nogle gange ubevidst, involverende flere parter. Karakteren af ​​de samtaler, der identificeres under undersøgelser af Microsoft, viser, at potentielt følsomme oplysninger bliver delt, som kan give efterretningsværdi.

Hvad kan jeg gøre for at beskytte mig mod SEABORGIUM?

Alle de ovennævnte teknikker, som Microsoft sagde, bruges af hackerne, kan faktisk afbødes ved at anvende sikkerhedsovervejelserne nedenfor:

• Tjek dine Office 365-e-mailfiltreringsindstillinger for at sikre, at du blokerer forfalskede e-mails, spam og e-mails med malware.
• Konfigurer Office 365 for at deaktivere automatisk videresendelse af e-mail.
• Brug de medfølgende indikatorer for kompromis til at undersøge, om de findes i dit miljø, og vurdere for potentiel indtrængen.
• Gennemgå al godkendelsesaktivitet for fjernadgangsinfrastruktur med særligt fokus på konti konfigureret med enkeltfaktorgodkendelse for at bekræfte ægtheden og undersøge eventuelle uregelmæssigheder aktivitet.
• Kræv multifaktorautentificering (MFA) for alle brugere, der kommer fra alle lokationer, inklusive opfattede pålidelige miljøer og al internet-vendt infrastruktur – også dem, der kommer fra lokale systemer.
• Udnyt mere sikre implementeringer såsom FIDO-tokens eller Microsoft Authenticator med nummermatchning. Undgå telefoni-baserede MFA-metoder for at undgå risici forbundet med SIM-jacking.

Til Microsoft Defender til Office 365-kunder:

• Brug Microsoft Defender til Office 365 til forbedret phishing-beskyttelse og dækning mod nye trusler og polymorfe varianter.
• Aktiver Zero-hour auto purge (ZAP) i Office 365 for at sætte sendt post i karantæne som svar på nyligt erhvervet trussel intelligens og med tilbagevirkende kraft neutralisere ondsindede phishing-, spam- eller malware-meddelelser, der allerede er leveret til postkasser.
• Konfigurer Defender til Office 365 for at kontrollere links igen ved klik. Safe Links giver URL-scanning og omskrivning af indgående e-mail-beskeder i e-mail-flow, og tidspunkt for klik-verifikation af URL'er og links i e-mail-meddelelser, andre Office-applikationer såsom Teams og andre steder såsom SharePoint Online. Scanning af sikre links sker ud over den almindelige anti-spam- og anti-malware-beskyttelse i indgående e-mail-meddelelser i Exchange Online Protection (EOP). Scanning af sikre links kan hjælpe med at beskytte din organisation mod ondsindede links, der bruges til phishing og andre angreb.
• Brug Attack Simulator i Microsoft Defender til Office 365 til at køre realistiske, men sikre, simulerede phishing- og adgangskodeangrebskampagner i din organisation. Kør spear-phishing-simuleringer (legitimationsindsamling) for at træne slutbrugere mod at klikke på URL'er i uopfordrede meddelelser og afsløre deres legitimationsoplysninger.

Med alt dette i tankerne, bør du tænke dig om to gange, før du åbner enhver form for vedhæftet fil, der kommer i en e-mail fra en tvivlsom kilde.

Du tror måske, at et enkelt klik er harmløst, men faktisk er det alt, hvad angriberne behøver for at infiltrere, gå på kompromis og drage fordel af dine data.

Har du bemærket nogen mistænkelig aktivitet på det seneste? Del din oplevelse med os i kommentarfeltet nedenfor.