این کمپین بیش از ۶ ماه است که فعال است و از شبکهای از وبسایتهای قانونی استفاده میکند که برای کار به عنوان Proxy Chain عمل میکنند.
اپراتورها با اعلانهای جعلی برای پیامهای صوتی و دعوتنامههای Zoom گیرندگان را ترغیب میکنند که در نهایت قربانی را به صفحه فیشینگ میبرد، این صفحه اطلاعات ورود به سیستم را جمعآوری میکند.
طبق تحقیقات کمپانی امنیت سایبری میتیگا، عامل تهدید پیامهای فیشینگ را از حسابهای ایمیل در معرض خطر ارسال میکند و از سرویسهای وب آمازون (AWS) و Oracle Cloud در زنجیره هدایت استفاده میکند.
پس از کلیک بر روی لینک کاربر از طریق چندین پروکسی، از جمله Load Balancerهای AWS تا یک وبسایت قانونی اما خطرناک هدایت میشود.
در مرحله بعدی، قربانیان به یک وبسایت هک شده هدایت میشوند که آنها را به صفحه جعلی Office 365 که بیشتر در سرویس Oracle Cloud میزبانی میشود هدایت میکند.
در برخی موارد، مهاجم از سرویس ذخیرهسازی ساده آمازون (Amazon S3) استفاده میکرد. اعتبارنامه وارد شده در این صفحه به طور خودکار به وبسایت هک شده دیگری تحویل داده میشود.
میتیگا میگوید که آنها بیش از 40 وبسایت خطرناک را شناسایی کردند که بخشی از این کمپین فیشینگ Office 365 بودند.
سرنخهای یافت شده در کد HTML برای صفحات جعلی Office 365 نشان میدهد که این زیرساخت بخشی از تجارت فیشینگ به عنوان سرویس است، که به چندین مشتری اجاره داده شده است.
گواه این ادعا، دستورالعملهایی مانند "//Set Link Here" و تفاوتهای کوچک در متغیرها، نام عملکردها یا سایتهای به خطر افتاده است که اعتبار سرقت شده را دریافت میکنند، که میتواند نشان دهد چندین کمپین از زیرساختهای یکسان استفاده میکنند.
محققان همچنین به برخی منابع از مناطق آسیا مانند کورنگ(ایران)، گاگال(هند) و کوسونگ(کره شمالی) و همچنین کلمات اندونزیایی (“tombol” - button, “tekan” - press, “kolom” - column, “kirim” - send) در تحقیقات خود رسیدهاند.
این موارد میتواند به اپراتورهای تجارت فیشینگ به عنوان یک سرویس یا مشتریان آنها اشاره کند. با این حال، اینها ممکن است پرچمهای دروغینی باشند که برای گمراه کردن محققان ارائه شده باشند.
محققان از آدرسهای ایمیل تجزیه و تحلیل شده دریافتند که اهداف این عملیات فیشینگ عمدتا مدیران سطح C در مشاغل کوچک و متوسط و همچنین موسسات مالی بزرگ هستند.
برای جلوگیری از قربانی شدن در این حملات توصیههای زیر را دنبال کنید:
اپراتورها با اعلانهای جعلی برای پیامهای صوتی و دعوتنامههای Zoom گیرندگان را ترغیب میکنند که در نهایت قربانی را به صفحه فیشینگ میبرد، این صفحه اطلاعات ورود به سیستم را جمعآوری میکند.
طبق تحقیقات کمپانی امنیت سایبری میتیگا، عامل تهدید پیامهای فیشینگ را از حسابهای ایمیل در معرض خطر ارسال میکند و از سرویسهای وب آمازون (AWS) و Oracle Cloud در زنجیره هدایت استفاده میکند.
پس از کلیک بر روی لینک کاربر از طریق چندین پروکسی، از جمله Load Balancerهای AWS تا یک وبسایت قانونی اما خطرناک هدایت میشود.
در مرحله بعدی، قربانیان به یک وبسایت هک شده هدایت میشوند که آنها را به صفحه جعلی Office 365 که بیشتر در سرویس Oracle Cloud میزبانی میشود هدایت میکند.
در برخی موارد، مهاجم از سرویس ذخیرهسازی ساده آمازون (Amazon S3) استفاده میکرد. اعتبارنامه وارد شده در این صفحه به طور خودکار به وبسایت هک شده دیگری تحویل داده میشود.
میتیگا میگوید که آنها بیش از 40 وبسایت خطرناک را شناسایی کردند که بخشی از این کمپین فیشینگ Office 365 بودند.
سرنخهای یافت شده در کد HTML برای صفحات جعلی Office 365 نشان میدهد که این زیرساخت بخشی از تجارت فیشینگ به عنوان سرویس است، که به چندین مشتری اجاره داده شده است.
گواه این ادعا، دستورالعملهایی مانند "//Set Link Here" و تفاوتهای کوچک در متغیرها، نام عملکردها یا سایتهای به خطر افتاده است که اعتبار سرقت شده را دریافت میکنند، که میتواند نشان دهد چندین کمپین از زیرساختهای یکسان استفاده میکنند.
محققان همچنین به برخی منابع از مناطق آسیا مانند کورنگ(ایران)، گاگال(هند) و کوسونگ(کره شمالی) و همچنین کلمات اندونزیایی (“tombol” - button, “tekan” - press, “kolom” - column, “kirim” - send) در تحقیقات خود رسیدهاند.
این موارد میتواند به اپراتورهای تجارت فیشینگ به عنوان یک سرویس یا مشتریان آنها اشاره کند. با این حال، اینها ممکن است پرچمهای دروغینی باشند که برای گمراه کردن محققان ارائه شده باشند.
محققان از آدرسهای ایمیل تجزیه و تحلیل شده دریافتند که اهداف این عملیات فیشینگ عمدتا مدیران سطح C در مشاغل کوچک و متوسط و همچنین موسسات مالی بزرگ هستند.
برای جلوگیری از قربانی شدن در این حملات توصیههای زیر را دنبال کنید:
- برای ورود به سیستم Office 365 احراز هویت دو عاملی (2FA) را فعال کنید.
- رمز عبور Office 365 را بصورت دورهای تغییر دهید.
- قوانین Forwarding را در حسابهای ایمیل بررسی کنید.
- پوشههای مخفی را در صندوقهای ایمیل و پیامها در مکانی متفاوت از حالت عادی جستجو کنید.
- لاگ تغییرات ورود و تنظیمات را در صندوق پستی و دادهها را حداقل برای 90 روز نگه دارید.
- هشدارها را برای فعالیتهای مشکوک مانند ورود غیرمعمول فعال کنید و گزارشهای سرور را برای دسترسی غیرعادی به ایمیل تجزیه و تحلیل کنید.