Saugokitės SEABORGIUM sukčiavimo schemos, jei esate „Microsoft“ klientas

Kaip tik tada, kai pagalvojote, kad naujausias Pataisykite antradienio saugos naujinimus padengė beveik visas Microsoft gynybos tinklo spragas, technologijų milžinas atneša daugiau nerimą keliančių naujienų.

Redmond kompanijos grėsmių žvalgybos centras arba MSTIC paskelbė rimtą įspėjimą dėl sukčiavimo kampanijos, pavadintos SEABORGIJAS.

Saugumo ekspertams tai nėra naujovė, nes ši schema iš esmės egzistuoja nuo 2017 m., „Microsoft“ padarė svarbų tinklaraščio straipsnis dėl SEABORGIUM.

Netrukus parodysime, kaip jis veikia, pažvelgdami į kai kurias išsamias gaires, kurios galėtų padėti potencialioms aukoms to išvengti.

Kaip veikia SEABORGIUM sukčiavimo schema?

Žinome, kad dabar tikriausiai svarstote, kodėl ši sukčiavimo kampanija tokia pavojinga „Microsoft“ vartotojams.

Na, jūs turėtumėte žinoti, kad iš tikrųjų taip kenkėjiškos trečiosios šalys inicijuoja ataką. Pirma, buvo pastebėta, kad jie atlieka žvalgybą arba nuodugnų potencialių aukų stebėjimą, naudodami apgaulingus socialinės žiniasklaidos profilius.

Dėl to taip pat sukuriama daug el. pašto adresų, siekiant apsimesti tikrus autentiškų asmenų ID ir susisiekti su pasirinktais tikslais.

Negana to, potencialiai žalingi el. laiškai taip pat gali būti iš vadinamųjų svarbių saugos firmų, siūlančių vartotojus šviesti kibernetinio saugumo klausimais.

„Microsoft“ taip pat nurodė, kad „SEABORGIUM“ įsilaužėliai pateikia kenkėjiškus URL tiesiogiai el. laiške arba per priedus, dažnai imituodami prieglobos paslaugas, tokias kaip „Microsoft“ „OneDrive“.

Be to, technologijų milžinas taip pat apibūdino „EvilGinx“ sukčiavimo rinkinio, naudojamo aukų kredencialams pavogti, naudojimą.

Kaip sakė bendrovė, paprasčiausiu atveju SEABORGIUM tiesiogiai prideda URL prie sukčiavimo el. pašto turinio.

Tačiau retkarčiais kenkėjiškos trečiosios šalys naudoja URL sutrumpinimo priemones ir atvirus peradresavimus, kad užmaskuotų savo URL iš tikslinės ir tiesioginės apsaugos platformų.

El. laiškas skiriasi: netikras asmeninis susirašinėjimas su hipersaitais ir netikras dalijimosi failais el. laiškai, imituojantys įvairias platformas.

Pastebėta, kad kampanijoje SEABORGIUM naudojami pavogti kredencialai ir tiesiogiai prisijungiama prie aukų el. pašto paskyrų.

Taigi, remdamasi kibernetinio saugumo ekspertų, reaguojančių į šio veikėjo įsibrovimus mūsų klientų vardu, patirtimi, bendrovė patvirtino, kad šios veiklos yra paplitusios:

• Žvalgybos duomenų išfiltravimas: pastebėta, kad SEABORGIUM iš aukų pašto dėžutės išfiltruoja el. laiškus ir priedus.
• Nuolatinio duomenų rinkimo nustatymas: Kai kuriais atvejais buvo pastebėta, kad SEABORGIUM nustato persiuntimo taisykles iš aukų pašto dėžutės į veikėjo valdomas „mirtų kritimų“ paskyras, kuriose veikėjas turi ilgalaikę prieigą prie surinktų duomenų. Ne kartą pastebėjome, kad aktoriai galėjo pasiekti jautrių grupių, pvz., adresatų sąrašo duomenis. lanko buvę žvalgybos pareigūnai ir kaupia informaciją iš adresų sąrašo, kad būtų galima toliau taikyti ir eksfiltracija.
• Prieiga prie dominančių žmonių: buvo keli atvejai, kai SEABORGIUM buvo pastebėta, kad naudojo savo apsimetinėjimo paskyras, kad palengvintų dialogą su konkrečius dominančius žmones ir dėl to buvo įtraukiami į pokalbius, kartais netyčia, įtraukiant kelias šalis. „Microsoft“ atliktų tyrimų metu nustatytų pokalbių pobūdis rodo, kad gali būti dalijamasi slapta informacija, kuri gali suteikti žvalgybos vertę.

Ką daryti, kad apsisaugočiau nuo SEABORGIUM?

Visus aukščiau paminėtus metodus, kuriuos, pasak Microsoft, naudoja įsilaužėliai, iš tikrųjų galima sušvelninti laikantis toliau pateiktų saugumo sumetimų:

• Patikrinkite „Office 365“ el. pašto filtravimo nustatymus, kad įsitikintumėte, jog blokuojate suklastotus el. laiškus, šlamštą ir el. laiškus su kenkėjiškomis programomis.
• Sukonfigūruokite Office 365, kad išjungtumėte automatinį el. laiškų persiuntimą.
• Naudokite įtrauktus kompromiso rodiklius, kad išsiaiškintumėte, ar jie egzistuoja jūsų aplinkoje, ir įvertinkite galimą įsibrovimą.
• Peržiūrėkite visą nuotolinės prieigos infrastruktūros autentifikavimo veiklą, ypatingą dėmesį skirdami paskyroms sukonfigūruotas naudojant vieno veiksnio autentifikavimą, kad būtų patvirtintas autentiškumas ir ištirta bet kokia anomalija veikla.
• Reikalauti daugiafaktorinio autentifikavimo (MFA) visiems vartotojams iš visų vietų, įskaitant suvokiamus patikima aplinka ir visa į internetą nukreipta infrastruktūra, net ir iš vietinių sistemos.
• Pasinaudokite saugesniais diegimais, pvz., FIDO žetonais arba „Microsoft Authenticator“ su skaičių atitikimu. Venkite telefonu pagrįstų MFA metodų, kad išvengtumėte rizikos, susijusios su SIM kortelės atjungimu.

„Microsoft Defender for Office 365“ klientams:

• Naudokite „Microsoft Defender“, skirtą „Office 365“, kad pagerintumėte apsaugą nuo sukčiavimo ir apsaugos nuo naujų grėsmių bei polimorfinių variantų.
• Įgalinkite nulinės valandos automatinį išvalymą (ZAP) „Office 365“, kad karantinuotumėte išsiųstus laiškus, reaguojant į naujai gautą grėsmę žvalgybos ir atgaline data neutralizuoti kenkėjiškų sukčiavimo, šlamšto ar kenkėjiškų programų pranešimus, kurie jau buvo pristatyti į pašto dėžutes.
• Sukonfigūruokite „Defender“, skirtą „Office 365“, kad spustelėjus dar kartą patikrintumėte nuorodas. Saugios nuorodos suteikia URL nuskaitymą ir gaunamų el. laiškų perrašymą pašto sraute bei spustelėjimo laiko patvirtinimą. URL ir nuorodos el. laiškuose, kitose „Office“ programose, pvz., „Teams“, ir kitose vietose, pvz., „SharePoint Online“. Saugių saitų nuskaitymas atliekamas be įprastos apsaugos nuo šlamšto ir kenkėjiškų programų gaunamuose el. laiškuose naudojant „Exchange Online Protection“ (EOP). Saugių nuorodų nuskaitymas gali padėti apsaugoti jūsų organizaciją nuo kenkėjiškų nuorodų, kurios naudojamos sukčiaujant ir kitoms atakoms.
• Naudokite „Microsoft Defender for Office 365“ atakų modeliuoklį, kad organizacijoje vykdytumėte tikroviškas, tačiau saugias imituojamas sukčiavimo ir slaptažodžių atakų kampanijas. Vykdykite sukčiavimo (kredencialų rinkimo) modeliavimą, kad mokytumėte galutinius vartotojus nespausti URL nepageidaujamuose pranešimuose ir atskleisti savo kredencialus.

Turėdami visa tai omenyje, prieš atidarydami bet kokio tipo priedą, gautą el. laiške iš abejotino šaltinio, turėtumėte gerai pagalvoti.

Galbūt manote, kad paprastas paspaudimas yra nekenksmingas, bet iš tikrųjų užpuolikams reikia tik to, kad įsiskverbtų į jūsų duomenis, padarytų kompromisą ir pasinaudotų jais.

Ar pastaruoju metu pastebėjote įtartinos veiklos? Pasidalykite savo patirtimi su mumis toliau pateiktame komentarų skyriuje.