Uważaj na schemat phishingowy SEABORGIUM, jeśli jesteś klientem Microsoft

Właśnie wtedy, gdy myślałeś, że najnowszy Popraw wtorkowe aktualizacje bezpieczeństwa pokrył prawie wszystkie luki w siatce obronnej Microsoftu, gigant technologiczny przynosi więcej niepokojących wiadomości.

Centrum Wywiadu Zagrożeń firmy z Redmond (MSTIC) opublikowało poważne ostrzeżenie o kampanii phishingowej o nazwie SEABORGIUM.

Nie jest to nowość dla ekspertów ds. Bezpieczeństwa, ponieważ ten schemat istnieje w zasadzie od 2017 roku, Microsoft zrobił ważny post na blogu w sprawie SEABORGIUM.

Za chwilę pokażemy Ci, w jaki sposób działa, przyglądając się obszernym wskazówkom, które mogą pomóc potencjalnym ofiarom tego uniknąć.

Jak działa schemat phishingowy SEABORGIUM?

Wiemy, że prawdopodobnie zastanawiasz się teraz, co sprawia, że ​​ta kampania phishingowa jest tak niebezpieczna dla użytkowników Microsoft.

Cóż, powinieneś wiedzieć, że w rzeczywistości jest to sposób, w jaki złośliwe strony trzecie inicjują atak. Po pierwsze, zaobserwowano, że prowadzą rozpoznanie lub dokładną obserwację potencjalnych ofiar za pomocą fałszywych profili w mediach społecznościowych.

W rezultacie powstaje również wiele adresów e-mail, aby podszywać się pod prawdziwe identyfikatory autentycznych osób, aby kontaktować się z wybranymi celami.

Nie tylko to, ale potencjalnie szkodliwe e-maile mogą również pochodzić od tak zwanych ważnych firm zajmujących się bezpieczeństwem, oferujących edukację użytkowników w zakresie cyberbezpieczeństwa.

Microsoft określił również, że hakerzy SEABORGIUM dostarczają złośliwe adresy URL bezpośrednio w wiadomości e-mail lub za pośrednictwem załączników, często imitując usługi hostingowe, takie jak własny OneDrive firmy Microsoft.

Co więcej, gigant technologiczny przedstawił również wykorzystanie zestawu phishingowego EvilGinx w tym przypadku, który służył do kradzieży danych uwierzytelniających ofiar.

Jak powiedziała firma, w najprostszym przypadku SEABORGIUM bezpośrednio dodaje adres URL do treści wiadomości phishingowej.

Jednak od czasu do czasu złośliwe strony trzecie wykorzystują skracanie adresów URL i otwierają przekierowania, aby ukryć swój adres URL przed docelowymi i wbudowanymi platformami ochrony.

Wiadomości e-mail różnią się między fałszywą osobistą korespondencją z tekstem hiperłącza a fałszywymi wiadomościami e-mail do udostępniania plików, które imitują szereg platform.

Zaobserwowano, że kampania SEABORGIUM wykorzystuje skradzione dane uwierzytelniające i bezpośrednio loguje się na konta e-mail ofiar.

Tym samym, opierając się na doświadczeniu ekspertów ds. cyberbezpieczeństwa odpowiadających na włamania tego aktora w imieniu naszych klientów, firma potwierdziła, że ​​następujące działania są wspólne:

• Eksfiltracja danych wywiadowczych: Zaobserwowano, że SEABORGIUM wydobywa wiadomości e-mail i załączniki ze skrzynek odbiorczych ofiar.
• Konfiguracja stałego gromadzenia danych: W ograniczonych przypadkach zaobserwowano, że SEABORGIUM konfiguruje reguły przekazywania ze skrzynek odbiorczych ofiar do kontrolowanych przez aktorów kont Dead Drop, gdzie aktor ma długoterminowy dostęp do zebranych danych. Niejednokrotnie zaobserwowaliśmy, że aktorzy mieli dostęp do danych list mailingowych dla wrażliwych grup, takich jak te odwiedzane przez byłych urzędników wywiadu i przechowuje zbiór informacji z listy mailingowej w celu dalszego kierowania i eksfiltracja.
• Dostęp do osób zainteresowanych: Zaobserwowano kilka przypadków, w których SEABORGIUM używało swoich kont podszywających się w celu ułatwienia dialogu z konkretne osoby, które były przedmiotem zainteresowania i w rezultacie były włączane do rozmów, czasem nieświadomie, z udziałem wielu stron. Charakter rozmów zidentyfikowanych podczas dochodzeń prowadzonych przez firmę Microsoft wskazuje na potencjalnie poufne informacje, które mogą stanowić wartość wywiadowczą.

Co mogę zrobić, aby uchronić się przed SEABORGIUM?

Wszystkie wyżej wymienione techniki, które według Microsoftu są używane przez hakerów, można w rzeczywistości złagodzić, stosując poniższe względy bezpieczeństwa:

• Sprawdź ustawienia filtrowania wiadomości e-mail w usłudze Office 365, aby upewnić się, że blokujesz fałszywe wiadomości e-mail, spam i wiadomości e-mail zawierające złośliwe oprogramowanie.
• Skonfiguruj usługę Office 365, aby wyłączyć automatyczne przekazywanie wiadomości e-mail.
• Użyj dołączonych wskaźników naruszenia bezpieczeństwa, aby zbadać, czy istnieją one w Twoim środowisku i ocenić potencjalne włamanie.
• Przejrzyj wszystkie działania związane z uwierzytelnianiem infrastruktury dostępu zdalnego, ze szczególnym uwzględnieniem kont skonfigurowany z uwierzytelnianiem jednoskładnikowym, aby potwierdzić autentyczność i zbadać wszelkie anomalie działalność.
• Wymagaj uwierzytelniania wieloskładnikowego (MFA) dla wszystkich użytkowników pochodzących ze wszystkich lokalizacji, w tym postrzeganych zaufane środowiska i cała infrastruktura z dostępem do Internetu — nawet ta pochodząca z lokalizacji lokalnych systemy.
• Wykorzystaj bezpieczniejsze implementacje, takie jak tokeny FIDO lub Microsoft Authenticator z dopasowywaniem numerów. Unikaj metod MFA opartych na telefonii, aby uniknąć ryzyka związanego z przejmowaniem karty SIM.

Dla Microsoft Defender dla klientów Office 365:

• Skorzystaj z usługi Microsoft Defender dla usługi Office 365, aby uzyskać lepszą ochronę przed phishingiem i ochronę przed nowymi zagrożeniami i wariantami polimorficznymi.
• Włącz zero-godzinne automatyczne czyszczenie (ZAP) w usłudze Office 365, aby poddać kwarantannie wysłaną pocztę w odpowiedzi na nowo nabyte zagrożenie inteligencji i z mocą wsteczną neutralizują złośliwe wiadomości phishingowe, spam lub złośliwe oprogramowanie, które zostały już dostarczone do skrzynek pocztowych.
• Skonfiguruj usługę Defender dla usługi Office 365, aby ponownie sprawdzać łącza po kliknięciu. Safe Links zapewnia skanowanie adresów URL i przepisywanie przychodzących wiadomości e-mail w przepływie poczty oraz weryfikację czasu kliknięcia Adresy URL i łącza w wiadomościach e-mail, inne aplikacje pakietu Office, takie jak Teams, oraz inne lokalizacje, takie jak SharePoint Online. Skanowanie Bezpiecznych łączy odbywa się oprócz standardowej ochrony przed spamem i złośliwym oprogramowaniem w przychodzących wiadomościach e-mail w programie Exchange Online Protection (EOP). Skanowanie bezpiecznych łączy może pomóc w ochronie organizacji przed złośliwymi łączami używanymi w phishingu i innych atakach.
• Użyj symulatora ataku w usłudze Microsoft Defender dla usługi Office 365, aby prowadzić realistyczne, ale bezpieczne, symulowane kampanie ataków phishingowych i ataków na hasła w organizacji. Przeprowadzaj symulacje spear-phishingu (zbieranie danych uwierzytelniających), aby szkolić użytkowników końcowych przed klikaniem adresów URL w niechcianych wiadomościach i ujawnianiem ich danych uwierzytelniających.

Mając to wszystko na uwadze, powinieneś pomyśleć dwa razy przed otwarciem jakiegokolwiek rodzaju załącznika, który pochodzi z wiadomości e-mail z wątpliwego źródła.

Możesz pomyśleć, że proste kliknięcie jest nieszkodliwe, ale w rzeczywistości to wszystko, czego atakujący potrzebują, aby przeniknąć, naruszyć i wykorzystać Twoje dane.

Czy zauważyłeś ostatnio podejrzaną aktywność? Podziel się z nami swoim doświadczeniem w sekcji komentarzy poniżej.