- Dies ist eine ernste Meldung und sollte von allen Microsoft-Clients als solche behandelt werden.
- Das Unternehmen aus Redmond gibt eine echte Warnung bezüglich SEABORGIUM-Phishing heraus.
- Böswillige Dritte können Ihr System mit gefälschten OneDrive-E-Mails infiltrieren.
Gerade als Sie dachten, dass die neueste Patchday-Sicherheitsupdates Nachdem so ziemlich alle Lücken in Microsofts Verteidigungsnetz abgedeckt wurden, bringt der Technologieriese weitere beunruhigende Neuigkeiten.
Das Threat Intelligence Center (MSTIC) des Unternehmens aus Redmond hat eine ernsthafte Warnung vor einer Phishing-Kampagne herausgegeben SEABORGIUM.
Für Sicherheitsexperten ist dies keine Neuigkeit, da dieses System seit 2017 im Umlauf ist, hat Microsoft einen wichtigen Beitrag geleistet Blogeintrag bezüglich SEABORGIUM.
Wir werden Ihnen gleich zeigen, wie es funktioniert, indem wir uns einige umfassende Anleitungen ansehen, die potenziellen Opfern helfen könnten, es zu vermeiden.
Wie funktioniert das SEABORGIUM-Phishing-Schema?
Wir wissen, dass Sie sich jetzt wahrscheinlich fragen, was diese Phishing-Kampagne für Microsoft-Benutzer so gefährlich macht.
Nun, Sie sollten wissen, dass böswillige Dritte den Angriff tatsächlich auf diese Weise initiieren. Erstens wurde beobachtet, dass sie mithilfe betrügerischer Social-Media-Profile Aufklärung oder gründliche Beobachtung der potenziellen Opfer durchführen.
Infolgedessen werden auch viele E-Mail-Adressen erstellt, um sich als echte IDs authentischer Personen auszugeben, um die ausgewählten Ziele zu kontaktieren.
Darüber hinaus können die potenziell schädlichen E-Mails auch von sogenannten wichtigen Sicherheitsfirmen stammen, die anbieten, Benutzer über Cybersicherheit aufzuklären.
Microsoft gab auch an, dass die SEABORGIUM-Hacker bösartige URLs direkt in einer E-Mail oder über Anhänge übermitteln und dabei häufig Hosting-Dienste wie Microsofts eigenes OneDrive imitieren.
Darüber hinaus skizzierte der Technologieriese auch die Verwendung des EvilGinx-Phishing-Kits, das in diesem Fall verwendet wurde, um die Anmeldeinformationen der Opfer zu stehlen.
Wie das Unternehmen sagte, fügt SEABORGIUM im einfachsten Fall direkt eine URL zum Hauptteil ihrer Phishing-E-Mail hinzu.
Von Zeit zu Zeit nutzen jedoch böswillige Dritte URL-Kürzer und offene Weiterleitungen, um ihre URL vor den Ziel- und Inline-Schutzplattformen zu verschleiern.
Die E-Mail variiert zwischen gefälschter persönlicher Korrespondenz mit verlinktem Text und gefälschten Filesharing-E-Mails, die eine Reihe von Plattformen imitieren.
Es wurde beobachtet, dass die SEABORGIUM-Kampagne gestohlene Zugangsdaten verwendet und sich direkt bei den E-Mail-Konten der Opfer anmeldet.
Basierend auf der Erfahrung von Cybersicherheitsexperten, die im Auftrag unserer Kunden auf Angriffe dieses Akteurs reagierten, bestätigte das Unternehmen, dass die folgenden Aktivitäten üblich sind:
- Exfiltration von Geheimdienstdaten: SEABORGIUM wurde beobachtet, wie es E-Mails und Anhänge aus dem Posteingang der Opfer exfiltrierte.
- Aufbau einer persistenten Datenerfassung: In begrenzten Fällen wurde beobachtet, dass SEABORGIUM Weiterleitungsregeln von den Posteingängen der Opfer zu von Akteuren kontrollierten Dead-Drop-Konten einrichtete, bei denen der Akteur langfristigen Zugriff auf die gesammelten Daten hat. Bei mehr als einer Gelegenheit haben wir beobachtet, dass die Akteure auf Mailinglistendaten für sensible Gruppen wie diese zugreifen konnten von ehemaligen Geheimdienstmitarbeitern frequentiert werden und eine Sammlung von Informationen aus der Mailingliste für nachfolgendes Targeting unterhalten und Exfiltration.
- Zugang zu Interessenten: Es gab mehrere Fälle, in denen SEABORGIUM dabei beobachtet wurde, wie sie ihre gefälschten Konten benutzten, um den Dialog zu erleichtern bestimmte Personen von Interesse und wurden infolgedessen, manchmal unwissentlich, in Gespräche einbezogen, an denen mehrere Parteien beteiligt waren. Die Art der Gespräche, die während der Untersuchungen von Microsoft identifiziert wurden, zeigt, dass möglicherweise vertrauliche Informationen weitergegeben werden, die einen nachrichtendienstlichen Wert bieten könnten.
Was kann ich tun, um mich vor SEABORGIUM zu schützen?
Alle oben genannten Techniken, von denen Microsoft sagt, dass sie von Hackern verwendet werden, können tatsächlich abgeschwächt werden, indem die unten aufgeführten Sicherheitsüberlegungen übernommen werden:
- Überprüfen Sie Ihre Office 365-E-Mail-Filtereinstellungen, um sicherzustellen, dass Sie gefälschte E-Mails, Spam und E-Mails mit Malware blockieren.
- Konfigurieren Sie Office 365, um die automatische E-Mail-Weiterleitung zu deaktivieren.
- Verwenden Sie die enthaltenen Kompromittierungsindikatoren, um zu untersuchen, ob sie in Ihrer Umgebung vorhanden sind, und bewerten Sie sie auf mögliches Eindringen.
- Überprüfen Sie alle Authentifizierungsaktivitäten für die Remote-Zugriffsinfrastruktur, mit besonderem Schwerpunkt auf Konten konfiguriert mit Ein-Faktor-Authentifizierung, um die Authentizität zu bestätigen und Anomalien zu untersuchen Aktivität.
- Fordern Sie Multifaktor-Authentifizierung (MFA) für alle Benutzer, die von allen Standorten kommen, einschließlich wahrgenommen vertrauenswürdige Umgebungen und alle mit dem Internet verbundenen Infrastrukturen – auch solche, die von lokalen Standorten stammen Systeme.
- Nutzen Sie sicherere Implementierungen wie FIDO-Token oder Microsoft Authenticator mit Nummernabgleich. Vermeiden Sie telefoniebasierte MFA-Methoden, um Risiken im Zusammenhang mit SIM-Jacking zu vermeiden.
Für Microsoft Defender für Office 365-Kunden:
- Verwenden Sie Microsoft Defender für Office 365 für verbesserten Phishing-Schutz und Schutz vor neuen Bedrohungen und polymorphen Varianten.
- Aktivieren Sie Zero-Hour Auto Purge (ZAP) in Office 365, um gesendete E-Mails als Reaktion auf eine neu erworbene Bedrohung unter Quarantäne zu stellen Intelligence und neutralisieren bereits zugestellte bösartige Phishing-, Spam- oder Malware-Nachrichten nachträglich zu Postfächern.
- Konfigurieren Sie Defender für Office 365 so, dass Links beim Klicken erneut überprüft werden. Sichere Links bieten URL-Scannen und Umschreiben eingehender E-Mail-Nachrichten im E-Mail-Fluss sowie die Überprüfung des Klickzeitpunkts URLs und Links in E-Mail-Nachrichten, anderen Office-Anwendungen wie Teams und anderen Speicherorten wie SharePoint Online. Das Scannen sicherer Links erfolgt zusätzlich zum regulären Antispam- und Antimalwareschutz in eingehenden E-Mail-Nachrichten in Exchange Online Protection (EOP). Das Scannen sicherer Links kann dazu beitragen, Ihr Unternehmen vor schädlichen Links zu schützen, die bei Phishing- und anderen Angriffen verwendet werden.
- Verwenden Sie den Angriffssimulator in Microsoft Defender für Office 365, um realistische, aber sichere, simulierte Phishing- und Kennwortangriffskampagnen in Ihrer Organisation auszuführen. Führen Sie Spear-Phishing-Simulationen (Credential Harvest) durch, um Endbenutzer darin zu schulen, auf URLs in unerwünschten Nachrichten zu klicken und ihre Anmeldeinformationen offenzulegen.
Vor diesem Hintergrund sollten Sie es sich zweimal überlegen, bevor Sie einen Anhang öffnen, der in einer E-Mail aus einer fragwürdigen Quelle stammt.
Sie denken vielleicht, dass ein einfacher Klick harmlos ist, aber tatsächlich ist es alles, was die Angreifer brauchen, um Ihre Daten zu infiltrieren, zu kompromittieren und auszunutzen.
Haben Sie in letzter Zeit verdächtige Aktivitäten bemerkt? Teilen Sie Ihre Erfahrungen mit uns im Kommentarbereich unten.