היזהר מתוכנית הדיוג של SEABORGIUM אם אתה לקוח של Microsoft

בדיוק כשחשבתם שזה האחרון תיקון עדכוני אבטחה של יום שלישי כיסה כמעט את כל הפערים ברשת ההגנה של מיקרוסופט, ענקית הטכנולוגיה מביאה חדשות מדאיגות יותר.

מרכז האיומים של חברת רדמונד, או MSTIC, פרסם אזהרה רצינית על קמפיין דיוג בשם SEABORGIUM.

זה לא חידוש למומחי אבטחה, מכיוון שתוכנית זו קיימת מאז 2017, מיקרוסופט עשתה תוכנית חשובה פוסט בבלוג לגבי SEABORGIUM.

אנו עומדים להראות לך את הדרכים שבהן הוא פועל על ידי התבוננות בהנחיה מקיפה שיכולה לעזור לקורבנות פוטנציאליים להימנע מכך.

כיצד פועלת ערכת הדיוג של SEABORGIUM?

אנו יודעים שעכשיו אתה בוודאי תוהה מה הופך את מסע הדיוג הזה למסוכן כל כך למשתמשי מיקרוסופט.

ובכן, אתה צריך לדעת שזו למעשה הדרך שבה צדדים שלישיים זדוניים יוזמים את המתקפה. ראשית, הם נראו מבצעים סיור או תצפית יסודית על הקורבנות הפוטנציאליים תוך שימוש בפרופילי מדיה חברתית הונאה.

כתוצאה מכך נוצרות גם הרבה כתובות דוא"ל כדי להתחזות לזיהויים אמיתיים של אנשים אותנטיים כדי ליצור קשר עם היעדים הנבחרים.

לא רק זה, אלא שהמיילים שעלולים להזיק יכולים להגיע גם ממה שנקרא חברות אבטחה חשובות, המציעות ללמד משתמשים בנושא אבטחת סייבר.

מיקרוסופט גם ציינה שההאקרים של SEABORGIUM מספקים כתובות URL זדוניות ישירות בדוא"ל או באמצעות קבצים מצורפים, ולעתים קרובות מחקים שירותי אירוח כמו OneDrive של מיקרוסופט.

יתרה מזאת, ענקית הטכנולוגיה גם תיארה את השימוש בערכת הדיוג EvilGinx במקרה זה המשמשת לגניבת האישורים של הקורבנות.

כפי שהחברה אמרה, במקרה הפשוט ביותר, SEABORGIUM מוסיפה ישירות כתובת URL לגוף האימייל שלהם.

עם זאת, מעת לעת, צדדים שלישיים זדוניים ממנפים מקצרי כתובות אתרים והפניות פתוחות כדי לטשטש את כתובת ה-URL שלהם מפלטפורמות היעד וההגנה המוטבעות.

המייל משתנה בין התכתבות אישית מזויפת עם טקסט מקושר לבין מיילים מזויפים לשיתוף קבצים המחקים מגוון פלטפורמות.

מסע הפרסום של SEABORGIUM נעשה שימוש באישורים גנובים ונכנס ישירות לחשבונות דואר אלקטרוני של הקורבן.

לפיכך, בהתבסס על ניסיונם של מומחי אבטחת סייבר המגיבים לפריצות של שחקן זה בשם לקוחותינו, החברה אישרה כי הפעילויות הבאות נפוצות:

• סינון של נתוני מודיעין: SEABORGIUM נצפתה מסננת מיילים וקבצים מצורפים מתיבת הדואר הנכנס של הקורבנות.
• הגדרה של איסוף נתונים מתמשך: במקרים מוגבלים, SEABORGIUM נצפתה מגדירה כללי העברה מתיבות הדואר הנכנס של הקורבנות לחשבונות שחרור מתים בשליטת השחקנים שבהם לשחקן יש גישה ארוכת טווח לנתונים שנאספו. יותר מפעם אחת, ראינו שהשחקנים הצליחו לגשת לנתוני רשימת תפוצה עבור קבוצות רגישות, כמו אלה פוקדים את גורמי המודיעין לשעבר, ומתחזקים אוסף של מידע מרשימת התפוצה לצורך מיקוד המשך הסתננות.
• גישה לאנשים מעניינים: היו כמה מקרים שבהם SEABORGIUM נצפה משתמש בחשבונות ההתחזות שלהם כדי לאפשר דיאלוג עם אנשים ספציפיים מעניינים, וכתוצאה מכך, נכללו בשיחות, לפעמים בלי משים, הכוללות מספר צדדים. אופי השיחות שזוהו במהלך חקירות על ידי מיקרוסופט מוכיח מידע שעלול להיות רגיש המשותף שיכול לספק ערך מודיעיני.

מה אני יכול לעשות כדי להגן על עצמי מפני SEABORGIUM?

כל הטכניקות שהוזכרו לעיל שמיקרוסופט אמרה שמשמשות את ההאקרים ניתנות למעשה למתן על ידי אימוץ שיקולי האבטחה המפורטים להלן:

• בדוק את הגדרות סינון הדוא"ל שלך ב-Office 365 כדי להבטיח שאתה חוסם הודעות דוא"ל מזויפות, דואר זבל והודעות דוא"ל עם תוכנות זדוניות.
• הגדר את Office 365 כדי להשבית את ההעברה האוטומטית של דואר אלקטרוני.
• השתמש באינדיקטורים הכלולים של פשרה כדי לחקור אם הם קיימים בסביבה שלך ולהעריך אם יש חדירה אפשרית.
• סקור את כל פעילות האימות עבור תשתית גישה מרחוק, תוך התמקדות מיוחדת בחשבונות מוגדר עם אימות גורם יחיד, כדי לאשר את האותנטיות ולחקור כל חריגה פעילות.
• דרוש אימות רב-גורמי (MFA) עבור כל המשתמשים המגיעים מכל המיקומים כולל נתפסים סביבות מהימנות, וכל התשתיות הפונות לאינטרנט - אפילו אלה שמגיעות ממקום למקום מערכות.
• מנף יישומים מאובטחים יותר כגון FIDO Tokens, או Microsoft Authenticator עם התאמת מספרים. הימנע משיטות MFA מבוססות טלפוניה כדי למנוע סיכונים הקשורים ל-SIM-jacking.

עבור Microsoft Defender עבור לקוחות Office 365:

• השתמש ב-Microsoft Defender עבור Office 365 להגנה משופרת על דיוג וכיסוי מפני איומים חדשים וגרסאות פולימורפיות.
• אפשר טיהור אוטומטי של אפס שעות (ZAP) ב-Office 365 כדי להסגר דואר שנשלח בתגובה לאיום שנרכש לאחרונה מודיעין ומנטרל רטרואקטיבית הודעות דיוג זדוניות, ספאם או תוכנות זדוניות שכבר נמסרו לתיבות דואר.
• הגדר את Defender עבור Office 365 כדי לבדוק מחדש קישורים בלחיצה. Safe Links מספקת סריקה וכתיבה מחדש של הודעות דואר אלקטרוני נכנסות בזרימת דואר, ואימות בזמן הקליק של כתובות URL וקישורים בהודעות דואר אלקטרוני, יישומי Office אחרים כגון Teams ומיקומים אחרים כגון SharePoint Online. סריקת קישורים בטוחים מתרחשת בנוסף להגנה הרגילה נגד ספאם ואנטי תוכנות זדוניות בהודעות דואר נכנסות ב-Exchange Online Protection (EOP). סריקת קישורים בטוחים יכולה לסייע בהגנה על הארגון שלך מפני קישורים זדוניים המשמשים בהתקפות דיוג והתקפות אחרות.
• השתמש בסימולטור ההתקפה ב-Microsoft Defender עבור Office 365 כדי להפעיל מסעות פרסום מציאותיים, אך בטוחים, מדומה של פישינג וסיסמה בתוך הארגון שלך. הפעל סימולציות של ספיר-פישינג (קציר אישורים) כדי לאמן משתמשי קצה מפני לחיצה על כתובות אתרים בהודעות לא רצויות וחשיפת האישורים שלהם.

עם כל זה בחשבון, כדאי לחשוב פעמיים לפני פתיחת כל סוג של קובץ מצורף שמגיע במייל ממקור מפוקפק.

אולי אתה חושב שקליק פשוט אינו מזיק, אבל למעשה, זה כל מה שהתוקפים צריכים כדי לחדור, להתפשר ולנצל את הנתונים שלך.

האם שמת לב לפעילות חשודה בזמן האחרון? שתף אותנו בחוויה שלך בקטע ההערות למטה.