Pas op voor het SEAORGIUM phishing-schema als u een Microsoft-klant bent

Net toen je dacht dat de nieuwste Patch dinsdag beveiligingsupdates vrijwel alle gaten in het verdedigingsnet van Microsoft bedekte, brengt de techgigant meer verontrustend nieuws.

Het Threat Intelligence Center van het bedrijf Redmond, of MSTIC, heeft een serieuze waarschuwing afgegeven over een phishing-campagne genaamd ZEEBORGIUM.

Dit is geen nieuwigheid voor beveiligingsexperts, aangezien dit schema al sinds 2017 bestaat, maakte Microsoft een belangrijke blogpost met betrekking tot SABORGIUM.

We staan ​​op het punt u te laten zien hoe het werkt door te kijken naar een aantal uitgebreide richtlijnen die potentiële slachtoffers kunnen helpen dit te vermijden.

Hoe werkt het SEAORGIUM phishing-schema?

We weten dat u zich nu waarschijnlijk afvraagt ​​wat deze phishing-campagne zo gevaarlijk maakt voor Microsoft-gebruikers.

Welnu, u moet weten dat dit de manier is waarop kwaadwillende derden de aanval initiëren. Ten eerste is gezien dat ze verkenningen of grondige observaties van de potentiële slachtoffers uitvoeren met behulp van frauduleuze sociale-mediaprofielen.

Als gevolg hiervan worden er ook veel e-mailadressen aangemaakt om echte ID's van authentieke personen na te bootsen om contact op te nemen met de gekozen doelen.

Niet alleen dat, maar de potentieel schadelijke e-mails kunnen ook afkomstig zijn van zogenaamde belangrijke beveiligingsbedrijven, die aanbieden om gebruikers voor te lichten over cyberbeveiliging.

Microsoft specificeerde ook dat de SEAORGIUM-hackers kwaadaardige URL's rechtstreeks in een e-mail of via bijlagen afleveren, waarbij ze vaak hostingdiensten zoals Microsoft's eigen OneDrive imiteren.

Verder schetste de techgigant ook het gebruik van de EvilGinx phishing-kit die in dit geval werd gebruikt om de inloggegevens van slachtoffers te stelen.

Zoals het bedrijf zei, voegt SEABORGIUM in het eenvoudigste geval rechtstreeks een URL toe aan de hoofdtekst van hun phishing-e-mail.

Van tijd tot tijd maken kwaadwillende derden echter gebruik van URL-verkorters en open omleidingen om hun URL te verdoezelen voor de doel- en inline-beveiligingsplatforms.

De e-mail varieert tussen valse persoonlijke correspondentie met gehyperlinkte tekst en valse e-mails voor het delen van bestanden die een reeks platforms imiteren.

Er is waargenomen dat de SEABORGIUM-campagne gestolen inloggegevens gebruikt en direct inlogt op e-mailaccounts van slachtoffers.

Op basis van de ervaring van cyberbeveiligingsexperts die namens onze klanten reageren op inbraken van deze actor, heeft het bedrijf bevestigd dat de volgende activiteiten veel voorkomen:

• Exfiltratie van inlichtingengegevens: Er is waargenomen dat SEABORGIUM e-mails en bijlagen uit de inbox van slachtoffers exfiltreert.
• Instellen van permanente gegevensverzameling: In een beperkt aantal gevallen is waargenomen dat SEABORGIUM doorstuurregels opstelde van inboxen van slachtoffers naar door acteurs gecontroleerde 'dead drop'-accounts waar de actor langdurig toegang heeft tot verzamelde gegevens. Meer dan eens hebben we vastgesteld dat de actoren toegang hadden tot mailinglijstgegevens voor gevoelige groepen, zoals die bezocht door voormalige inlichtingenfunctionarissen, en het bijhouden van een verzameling informatie van de mailinglijst voor vervolgtargeting en exfiltratie.
• Toegang tot interessante mensen: Er zijn verschillende gevallen geweest waarin is waargenomen dat SEAORGIUM hun imitatieaccounts gebruikte om de dialoog met. te vergemakkelijken bepaalde personen van belang en werden daardoor, soms ongewild, betrokken bij gesprekken waarbij meerdere partijen betrokken waren. De aard van de gesprekken die tijdens onderzoeken door Microsoft zijn geïdentificeerd, toont aan dat mogelijk gevoelige informatie wordt gedeeld die informatiewaarde kan bieden.

Wat kan ik doen om mezelf tegen SEAORGIUM te beschermen?

Alle bovengenoemde technieken waarvan Microsoft zei dat ze door de hackers worden gebruikt, kunnen in feite worden beperkt door de onderstaande beveiligingsoverwegingen toe te passen:

• Controleer uw instellingen voor het filteren van e-mail in Office 365 om er zeker van te zijn dat u vervalste e-mails, spam en e-mails met malware blokkeert.
• Configureer Office 365 om automatisch doorsturen van e-mail uit te schakelen.
• Gebruik de meegeleverde indicatoren van compromis om te onderzoeken of ze in uw omgeving bestaan ​​en te beoordelen op mogelijke inbraak.
• Bekijk alle authenticatie-activiteiten voor infrastructuur voor externe toegang, met bijzondere aandacht voor accounts geconfigureerd met authenticatie met één factor, om de authenticiteit te bevestigen en eventuele afwijkingen te onderzoeken werkzaamheid.
• Multifactor-authenticatie (MFA) vereisen voor alle gebruikers afkomstig van alle locaties, inclusief waargenomen vertrouwde omgevingen en alle op internet gerichte infrastructuur, zelfs die van on-premises systemen.
• Maak gebruik van veiligere implementaties zoals FIDO-tokens of Microsoft Authenticator met nummerherkenning. Vermijd op telefonie gebaseerde MFA-methoden om de risico's van SIM-jacking te vermijden.

Voor Microsoft Defender voor Office 365-klanten:

• Gebruik Microsoft Defender voor Office 365 voor verbeterde bescherming tegen phishing en dekking tegen nieuwe bedreigingen en polymorfe varianten.
• Schakel Zero-hour auto purge (ZAP) in Office 365 in om verzonden e-mail in quarantaine te plaatsen als reactie op nieuw verworven dreiging intelligentie en neutraliseer met terugwerkende kracht kwaadaardige phishing-, spam- of malwareberichten die al zijn bezorgd naar brievenbussen.
• Configureer Defender voor Office 365 om koppelingen bij klikken opnieuw te controleren. Safe Links biedt het scannen van URL's en herschrijven van inkomende e-mailberichten in de e-mailstroom en verificatie van de kliktijd van URL's en koppelingen in e-mailberichten, andere Office-toepassingen zoals Teams en andere locaties zoals SharePoint Online. Het scannen van Safe Links vindt plaats naast de reguliere antispam- en antimalwarebescherming in inkomende e-mailberichten in Exchange Online Protection (EOP). Het scannen van veilige koppelingen kan uw organisatie helpen beschermen tegen schadelijke koppelingen die worden gebruikt bij phishing en andere aanvallen.
• Gebruik de Attack Simulator in Microsoft Defender voor Office 365 om realistische, maar veilige, gesimuleerde phishing- en wachtwoordaanvalcampagnes binnen uw organisatie uit te voeren. Voer spear-phishing-simulaties (inloggegevens) uit om eindgebruikers te trainen tegen het klikken op URL's in ongevraagde berichten en het vrijgeven van hun inloggegevens.

Met dit alles in gedachten, moet u twee keer nadenken voordat u een bijlage opent die in een e-mail van een twijfelachtige bron komt.

Je zou kunnen denken dat een simpele klik ongevaarlijk is, maar in feite is het alles wat de aanvallers nodig hebben om te infiltreren, compromitteren en profiteren van je gegevens.

Heeft u de laatste tijd verdachte activiteiten opgemerkt? Deel uw ervaring met ons in de opmerkingen hieronder.