作者:Josh Varden 和 Cobi Aloia,Cofense 网络钓鱼防御中心
最近,Cofense 网络钓鱼防御中心 (PDC) 发现,使用合法第三方商业软件逃避检测、同时保持高水平欺骗的恶意企业邮箱数量有所增加。在这种情况下,协作和项目管理平台 阿特拉斯 用于通过其域托管恶意内容,这种技术通常称为域或平台滥用。在本博客中,我们将讨论威胁行为者如何诱骗受害者使用这些技术并旨在窃取他们的凭据以访问公司的关键员工信息和基础设施。
最近的 PDC 数据显示了一些不良行为者使用受信任的企业域在表单、页面、URL 等中隐藏恶意内容的示例。 布, 共享点和 文档签名。 Atlassian 的软件 Confluence 被恶意行为者利用,利用该公司的声誉作为企业内的可信域,从而产生错误的安全感。
图 1:企业邮箱正文
企业邮箱的正文保持简单,要求收件人查看在特定日期通过企业邮箱发送的附件文档。随附一份 Microsoft Excel 文档,据称来自潜在的业务合作伙伴。这与引用提案的企业邮箱的主题直接相关,因此更有可能是合法附件。企业邮箱正文中的其他值得注意的元素包括指向潜在合作伙伴的 Facebook、Instagram、LinkedIn 和页面的社交媒体 URL。 X 配置文件。这些链接以及前面提到的企业邮箱品牌,有助于强化一种误导性的观念,即该企业邮箱来自真实的潜在客户,因此值得信赖。
该企业邮箱使用社会工程策略,要求收件人“请查看附件”,诱骗他们点击邮件的附件。企业邮箱中使用大写字母的首字母缩略词“FYI”(供您参考),有一种轻微的紧迫感。通过在正文中提供日期,它迫使用户决定是否单击所包含的附件,否则可能会因不及时响应而使客户或供应商感到沮丧。
图 2:附件
此企业邮箱的附件是一个 Excel 文件 (.xls),打开后会向用户显示 DocuSign 品牌,内容为“您已收到文档,请审阅并签名”。图片下方是一个超链接,上面写着:“查看新文档。”通过单击超链接,用户将被重定向到 Atlassian 域,威胁行为者在其中运行 Atlassian Confluence 产品(一个为企业设计的 wiki)。
图 3:网络钓鱼页面
图 3 中的上方是 Confluence 登录页面,用户通过初始企业邮箱的 Excel 文件重定向到该页面。通过利用 Atlassian 域,威胁行为者试图绕过 SEG(安全企业邮箱网关)或其他可能阻止传入威胁的企业邮箱安全措施。在本例和许多其他情况下,这种使用受信任域托管恶意内容的策略能够绕过 SEG 并到达收件人的收件箱。该页面的大部分内容都包含一个大标题,上面写着“新投标书表格”,其下方有一个全部大写的小描述。此描述下方是一个超链接,内容为“单击此处访问文档”,其中包含指向恶意网络钓鱼页面的最终重定向。通过单击此超链接,收件人将被定向到下图所示的页面。
图4:钓鱼页面
用户最后一次被重定向到实际的网络钓鱼页面,其中包含众所周知且仍然流行的 Microsoft 品牌登录表单。此页面的 URL 使用子域“桌子.atfxt.com”进一步强化了这是合法 Microsoft 登录的误导性想法。一旦用户在登录表单中输入凭据,他们的用户名和密码将通过向主机域“atfxt.com”发出 POST 请求而被泄露,恶意行为者将能够在其中查看并使用它们来进一步利用或危害用户证书。企业数据和基础设施。可利用员工泄露的凭据进行的攻击示例包括鱼叉式网络钓鱼、商业企业邮箱泄露、帐户接管、权限升级、恶意软件部署和横向移动。这些攻击可能会导致公司数据广泛泄露和资产损失,甚至可能危及可能与员工或其雇主合作的第三方公司或供应商。减轻这些攻击对于企业安全至关重要,因为网络钓鱼企业邮箱通常是重大攻击的第一步,并且占组织内数据泄露的 91%(德勤)。
此类网络钓鱼攻击使用已知的受信任域和欺骗来到达目标收件人。控制一个众所周知的域允许不良行为者逃避 SEG 和其他安全措施,依赖于毫无戒心的收件人信任应该是已知 URL 向量的内容。 Cofense 管理的网络钓鱼检测和响应以及我们的网络钓鱼防御中心 (PDC) 能够识别和分析这种策略,同时绕过 SEG 和其他安全措施。请联系我们的专家团队以了解更多信息。
妥协指标 |
知识产权 |
---|---|
文件名: Kilgore Industries.xlsx |
|
hXXps://kilgoreind(.)atlassian(.)net/wiki/external/ZTRhODM1N2U5Mzk5NGJmY2FmZWQ4NjI3YTVhNzhhYzA |
104.192.142.19 |
hXXps://office(.)atfxt(.)com/common/oauth2/v2(.)0/authorize?client_id=4765445b-32c6-49b0-83e6-1d93765276ca&redirect_uri=hXXps%3A%2F%2Fwww(.)office( .)com%2Flandingv2&response_type=code%20id_token&scope=openid%20profile%20hXXps%3A%2F%2Fwww(.)office(.)com%2Fv2%2FOfficeHome(.)All&response_mode=form_post&nonce=638630591533111152(.)Yjc0ZWIx OGUtMz ZlMS 00ZjYxLWE5NzMtOGRhZjI5MmFkNjk5YzljZDBhNDEtMTQzNi00ZWU1LWE3MGUtMzViOWE3M2U3MGFm&ui_locales=en- US&mkt = fr-US&客户请求-id=2520dd33-9c6a-4ab9-b7db-54edf4ce3dad&state=CxgsacqzGvRaN8zwAstYXgKUFjO8Vq97-Vl8Iy7bhYl_k0kCjRhhf_LJLPpO-z9e3mIVZGCegO00zMWHxSDb 1 21 MuJ7YZx7E6-q4Uf0moWf6cwa93wreEdtU6R939FyHB2C6GhtUHYC2JHPgu8-Wdu06tHTfjd T8G5–nEXQ68WEe5CxVQJOGC0y9PjToPNrNnXboTYF4vePQt2CYVywNPq2fv4iDbMzXsX 1EKx BUdlDGBlUu6rviZA5hXZd1a6aAjYf-_7zAsm9tLxewstdZw&x-客户端-SKU=ID_NET8_0&x-客户端-ver=7 (.)5(.)1(.)0 |
82.180.130.33 |
Cofense 引用的所有第三方商标,无论是徽标、名称、产品形式还是其他形式,均属于其各自所有者的财产,并且使用此类标记绝不表明 Cofense 与品牌所有者之间存在任何关系。本博客中有关绕过端点保护的所有观察结果均基于单个时间点和一组特定系统配置的观察结果。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。
Cofense® 和 PhishMe® 名称和徽标,以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标都是 Cofense Inc. 的注册商标或商标。
Leave A Comment