Atenție la schema de phishing SEABORGIUM dacă sunteți client Microsoft

Tocmai când credeai că este cel mai recent Patch-uri actualizările de securitate de marți acoperit aproape toate lacunele din grila de apărare a Microsoft, gigantul tehnologic aduce știri mai deconcertante.

Centrul de informații despre amenințări al companiei Redmond, sau MSTIC, a emis un avertisment serios cu privire la o campanie de phishing numită SEABORGIUM.

Aceasta nu este o noutate pentru experții în securitate, deoarece această schemă există din 2017, Microsoft a făcut un important postare pe blog referitor la SEABORGIUM.

Suntem pe cale să vă arătăm modurile în care funcționează, luând în considerare câteva îndrumări cuprinzătoare care ar putea ajuta potențialele victime să-l evite.

Cum funcționează schema de phishing SEABORGIUM?

Știm că acum probabil vă întrebați ce face această campanie de phishing atât de periculoasă pentru utilizatorii Microsoft.

Ei bine, ar trebui să știți că acesta este de fapt modul în care terții rău intenționați inițiază atacul. În primul rând, au fost observați că efectuează recunoaștere sau observare amănunțită a potențialelor victime folosind profiluri frauduloase din rețelele sociale.

Drept urmare, sunt create și o mulțime de adrese de e-mail pentru a uzurpa identitatea unor ID-uri reale ale unor persoane autentice pentru a contacta țintele alese.

Nu numai asta, dar e-mailurile potențial dăunătoare pot proveni și de la așa-numitele firme de securitate importante, oferindu-se să educe utilizatorii cu privire la securitatea cibernetică.

Microsoft a mai precizat că hackerii SEABORGIUM furnizează adrese URL rău intenționate direct într-un e-mail sau prin atașamente, imitând adesea servicii de găzduire precum OneDrive de la Microsoft.

Mai mult, gigantul tehnologic a subliniat și utilizarea kit-ului de phishing EvilGinx, folosit în acest caz pentru a fura acreditările victimelor.

După cum a spus compania, în cel mai simplu caz, SEABORGIUM adaugă direct o adresă URL în corpul e-mailului său de phishing.

Cu toate acestea, din când în când, terțe părți rău intenționate folosesc dispozitivele de scurtare a adreselor URL și redirecționările deschise pentru a-și ofusca adresa URL de la platformele de protecție țintă și inline.

E-mailul variază între corespondența personală falsă cu text hiperlink și e-mailurile false de partajare a fișierelor care imită o serie de platforme.

S-a observat că campania SEABORGIUM folosește acreditări furate și se conectează direct la conturile de e-mail ale victimelor.

Astfel, pe baza experienței experților în securitate cibernetică care răspund la intruziunile acestui actor în numele clienților noștri, compania a confirmat că următoarele activități sunt comune:

• Exfiltrarea datelor de informații: S-a observat că SEABORGIUM exfiltrează e-mailuri și atașamente din căsuța de e-mail a victimelor.
• Configurarea colectării de date persistente: În cazuri limitate, s-a observat că SEABORGIUM stabilește reguli de redirecționare de la căsuțele primite ale victimelor către conturi de dead drop controlate de actor, unde actorul are acces pe termen lung la datele colectate. În mai multe ocazii, am observat că actorii au putut accesa datele listelor de corespondență pentru grupuri sensibile, cum ar fi cele frecventate de foști oficiali ai serviciilor de informații și să mențină o colecție de informații din lista de corespondență pentru țintirea ulterioară și exfiltrare.
• Acces la persoane de interes: Au existat mai multe cazuri în care SEABORGIUM a fost observat folosind conturile de uzurpare a identității pentru a facilita dialogul cu persoane specifice de interes și, ca urmare, au fost incluse în conversații, uneori fără să vrea, implicând mai multe părți. Natura conversațiilor identificate în timpul investigațiilor de către Microsoft demonstrează că sunt partajate informații potențial sensibile care ar putea oferi valoare de informații.

Ce pot face pentru a mă proteja de SEABORGIUM?

Toate tehnicile menționate mai sus despre care Microsoft a spus că sunt folosite de hackeri pot fi de fapt atenuate prin adoptarea considerațiilor de securitate prezentate mai jos:

• Verificați setările de filtrare a e-mailurilor Office 365 pentru a vă asigura că blocați e-mailurile falsificate, spam-ul și e-mailurile cu malware.
• Configurați Office 365 pentru a dezactiva redirecționarea automată a e-mailurilor.
• Utilizați indicatorii de compromis incluși pentru a investiga dacă aceștia există în mediul dvs. și pentru a evalua eventualele intruziuni.
• Examinați toată activitatea de autentificare pentru infrastructura de acces la distanță, cu un accent deosebit pe conturi configurat cu autentificare cu un singur factor, pentru a confirma autenticitatea și a investiga orice anomalie activitate.
• Necesită autentificarea multifactorială (MFA) pentru toți utilizatorii care vin din toate locațiile, inclusiv cele percepute medii de încredere și toată infrastructura orientată către internet, chiar și cele care provin din local sisteme.
• Folosiți implementări mai sigure, cum ar fi jetoanele FIDO sau Microsoft Authenticator cu potrivirea numerelor. Evitați metodele MFA bazate pe telefonie pentru a evita riscurile asociate cu mufa SIM.

Pentru clienții Microsoft Defender pentru Office 365:

• Utilizați Microsoft Defender pentru Office 365 pentru protecție sporită împotriva phishingului și acoperire împotriva noilor amenințări și a variantelor polimorfe.
• Activați curățarea automată la zero ore (ZAP) în Office 365 pentru a pune în carantină e-mailurile trimise ca răspuns la amenințarea recent dobândită informații și neutralizează retroactiv mesajele de tip phishing, spam sau malware care au fost deja livrate la cutiile poştale.
• Configurați Defender pentru Office 365 pentru a verifica din nou linkurile la clic. Safe Links oferă scanarea URL și rescrierea mesajelor de e-mail de intrare în fluxul de e-mail și verificarea timpului de clic a Adresele URL și linkurile din mesajele de e-mail, alte aplicații Office, cum ar fi Teams, și alte locații, cum ar fi SharePoint Online. Scanarea legăturilor sigure are loc în plus față de protecția obișnuită anti-spam și anti-malware din mesajele de e-mail primite din Exchange Online Protection (EOP). Scanarea Safe Links vă poate ajuta să vă protejați organizația de legăturile rău intenționate care sunt utilizate în atacuri de tip phishing și alte atacuri.
• Utilizați Simulatorul de atacuri din Microsoft Defender pentru Office 365 pentru a rula campanii de phishing și atacuri cu parole realiste, dar sigure, simulate în cadrul organizației dvs. Rulați simulări de spear-phishing (recoltare de acreditări) pentru a instrui utilizatorii finali să nu facă clic pe adresele URL din mesajele nesolicitate și să dezvăluie acreditările lor.

Având în vedere toate acestea, ar trebui să vă gândiți de două ori înainte de a deschide orice tip de atașament care vine într-un e-mail dintr-o sursă discutabilă.

S-ar putea să credeți că un simplu clic este inofensiv, dar, de fapt, este tot ce au nevoie atacatorii pentru a se infiltra, compromite și profita de datele dvs.

Ați observat vreo activitate suspectă în ultima vreme? Împărtășește-ți experiența cu noi în secțiunea de comentarii de mai jos.