Varo SEABORGIUM-phishing-järjestelmää, jos olet Microsoft-asiakas

Juuri kun luulit, että uusin Korjaa tiistain tietoturvapäivitykset peitti lähes kaikki Microsoftin puolustusverkon aukot, teknologiajätti tuo lisää hämmentäviä uutisia.

Redmond-yhtiön Threat Intelligence Center eli MSTIC on antanut vakavan varoituksen tietojenkalastelukampanjasta nimeltä SEABORGIUM.

Tämä ei ole uutuus tietoturva-asiantuntijoille, sillä tämä järjestelmä on ollut olemassa periaatteessa vuodesta 2017 lähtien, joten Microsoft teki tärkeän blogipostaus koskien SEABORGIAA.

Aiomme näyttää sinulle, miten se toimii tarkastelemalla kattavia ohjeita, jotka voivat auttaa mahdollisia uhreja välttämään sen.

Kuinka SEABORGIUM-phishing-järjestelmä toimii?

Tiedämme, että nyt luultavasti ihmettelet, mikä tekee tästä tietojenkalastelukampanjasta niin vaarallisen Microsoftin käyttäjille.

No, sinun pitäisi tietää, että se on itse asiassa tapa, jolla haitalliset kolmannet osapuolet aloittavat hyökkäyksen. Ensinnäkin heidän on nähty tutkivan tai tarkkailevan mahdollisia uhreja vilpillisten sosiaalisen median profiilien avulla.

Tämän seurauksena luodaan myös paljon sähköpostiosoitteita, joiden tarkoituksena on jäljitellä aitojen henkilöiden oikeita henkilötunnuksia ja ottaa yhteyttä valittuihin kohteisiin.

Sen lisäksi, että mahdollisesti haitalliset sähköpostit voivat tulla myös niin sanotuilta tärkeiltä tietoturvayrityksiltä, ​​jotka tarjoavat käyttäjille koulutusta kyberturvallisuudesta.

Microsoft täsmensi myös, että SEABORGIUM-hakkerit toimittavat haitallisia URL-osoitteita suoraan sähköpostissa tai liitteiden kautta, usein jäljittelemällä hosting-palveluita, kuten Microsoftin omaa OneDrivea.

Lisäksi teknologiajätti hahmotteli myös EvilGinx-phishing-sarjan käytön tässä tapauksessa, jota käytettiin uhrien valtakirjojen varastamiseen.

Kuten yritys sanoi, SEABORGIUM lisää yksinkertaisimmassa tapauksessa suoraan URL-osoitteen tietojenkalasteluviestiensä runkoon.

Kuitenkin ajoittain haitalliset kolmannet osapuolet hyödyntävät URL-lyhennyksiä ja avoimia uudelleenohjauksia hämärtääkseen URL-osoitteensa kohde- ja sisäisiltä suojausalustoilta.

Sähköposti vaihtelee väärennetyn henkilökohtaisen kirjeenvaihdon välillä, jossa on hyperlinkkitekstiä, ja väärennettyjä tiedostonjakoviestejä, jotka jäljittelevät useita alustoja.

SEABORGIUM-kampanjan on havaittu käyttävän varastettuja tunnistetietoja ja kirjautuvan suoraan uhrien sähköpostitileihin.

Näin ollen kyberturvallisuusasiantuntijoiden kokemuksen perusteella, joka vastasi tämän toimijan tunkeutumisiin asiakkaidemme puolesta, yhtiö vahvisti, että seuraavat toiminnot ovat yleisiä:

• Tiedustelutietojen suodattaminen: SEABORGIUMIN on havaittu suodattavan sähköpostit ja liitteet uhrien postilaatikosta.
• Pysyvän tiedonkeruun asetukset: Rajoitetuissa tapauksissa SEABORGIUMin on havaittu luovan edelleenlähetyssääntöjä uhrien postilaatikoista näyttelijän ohjaamille dead drop -tileille, joissa näyttelijällä on pitkäaikainen pääsy kerättyihin tietoihin. Olemme useammin kuin kerran havainneet, että näyttelijät pääsivät käsiksi arkaluonteisten ryhmien postituslistatietoihin, kuten entisten tiedusteluvirkailijoiden suosiossa ja ylläpitää kokoelmaa tietoja postituslistalta jatkokohdistusta ja suodattaminen.
• Pääsy kiinnostaviin ihmisiin: On ollut useita tapauksia, joissa SEABORGIUM on havaittu käyttäneen toisena henkilönä esiintymistiliään vuoropuhelun helpottamiseksi tiettyjä kiinnostavia ihmisiä, ja sen seurauksena heidät otettiin mukaan keskusteluihin, joskus tahattomasti, joihin osallistui useita osapuolia. Microsoftin tutkimusten aikana havaittujen keskustelujen luonne osoittaa, että jaetaan mahdollisesti arkaluontoisia tietoja, jotka voivat tarjota tiedusteluarvoa.

Mitä voin tehdä suojautuakseni SEABORGIUMilta?

Kaikkia yllä mainittuja tekniikoita, joita Microsoft sanoi hakkereiden käyttävän, voidaan itse asiassa lieventää noudattamalla alla olevia turvallisuusnäkökohtia:

• Tarkista Office 365 -sähköpostin suodatusasetuksesi varmistaaksesi, että estät väärennetyt sähköpostit, roskapostit ja sähköpostit, joissa on haittaohjelmia.
• Määritä Office 365 poistamaan sähköpostin automaattinen edelleenlähetys käytöstä.
• Käytä mukana tulevia kompromissiindikaattoreita tutkiaksesi, onko niitä ympäristössäsi, ja arvioida mahdollisia tunkeutumisia.
• Tarkista kaikki etäkäyttöinfrastruktuurin todennustoimet keskittyen erityisesti tileihin konfiguroitu yhden tekijän todennuksella aitouden vahvistamiseksi ja mahdollisten poikkeamien tutkimiseksi toiminta.
• Vaadi monitekijätodennusta (MFA) kaikille käyttäjille, jotka tulevat kaikista paikoista, mukaan lukien havaitut luotetut ympäristöt ja kaikki Internetiin päin oleva infrastruktuuri – myös ne, jotka tulevat paikan päällä järjestelmät.
• Hyödynnä turvallisempia toteutuksia, kuten FIDO Tokeneja tai Microsoft Authenticatoria numeroiden täsmäyttämisellä. Vältä puhelinpohjaisia ​​MFA-menetelmiä SIM-kaappaukseen liittyvien riskien välttämiseksi.

Microsoft Defender for Office 365 -asiakkaille:

• Käytä Microsoft Defender for Office 365:tä parantaaksesi tietojenkalastelusuojaa ja kattavuutta uusia uhkia ja polymorfisia muunnelmia vastaan.
• Ota käyttöön Zero-hour automaattinen tyhjennys (ZAP) Office 365:ssä lähettääksesi lähetetyt postit karanteeniin vastauksena uuteen uhan tiedustella ja neutraloida takautuvasti haitalliset tietojenkalastelu-, roskaposti- tai haittaohjelmaviestit, jotka on jo toimitettu postilaatikoihin.
• Määritä Defender for Office 365 tarkistamaan linkit uudelleen napsautettaessa. Safe Links tarjoaa saapuvien sähköpostiviestien URL-skannauksen ja uudelleenkirjoituksen postikulussa sekä napsautusajan vahvistuksen URL-osoitteet ja linkit sähköpostiviesteissä, muissa Office-sovelluksissa, kuten Teamsissa, ja muissa sijainneissa, kuten SharePoint Onlinessa. Safe Links -tarkistus tapahtuu saapuvien sähköpostiviestien tavallisen roskapostin ja haittaohjelmien torjuntasuojauksen lisäksi Exchange Online Protectionissa (EOP). Turvallisten linkkien tarkistus voi auttaa suojaamaan organisaatiotasi haitallisilta linkeiltä, ​​joita käytetään tietojenkalastelussa ja muissa hyökkäyksissä.
• Käytä Microsoft Defender for Office 365:n hyökkäyssimulaattoria toteuttaaksesi realistisia, mutta turvallisia, simuloituja tietojenkalastelu- ja salasanahyökkäyskampanjoita organisaatiossasi. Suorita spear-phishing-simulaatioita (credential harvest) kouluttaaksesi loppukäyttäjiä napsauttamaan URL-osoitteita ei-toivotuissa viesteissä ja paljastamasta valtuustietojaan.

Kaiken tämän mielessä sinun tulee miettiä kahdesti ennen kuin avaat minkään tyyppisen liitteen, joka tulee sähköpostissa kyseenalaiselta lähteeltä.

Saatat ajatella, että yksinkertainen napsautus on vaaraton, mutta itse asiassa hyökkääjät tarvitsevat vain sen soluttautuakseen, tehdäkseen kompromisseja ja hyödyntääkseen tietojasi.

Oletko huomannut epäilyttävää toimintaa viime aikoina? Jaa kokemuksesi kanssamme alla olevassa kommenttiosassa.