"ده ها" سازمان در سراسر جهان به عنوان بخشی از کمپین گسترده سازش ایمیل تجاری (BEC) که شامل استفاده از تکنیک های دشمن در وسط (AitM) برای انجام حملات بود، هدف قرار گرفته اند.
محققان Sygnia میگویند: «پس از یک تلاش موفق فیشینگ، عامل تهدید به حساب یکی از کارمندان قربانی دسترسی اولیه پیدا کرد و یک حمله «دشمن در وسط» را برای دور زدن احراز هویت Office365 و دسترسی مداوم به آن حساب انجام داد. گزارشی که با The Hacker News به اشتراک گذاشته شده است.
پس از به دست آوردن دسترسی، عامل تهدید دادهها را از حساب در معرض خطر استخراج کرد و از دسترسی خود برای گسترش حملات فیشینگ علیه سایر کارمندان قربانی و چندین سازمان هدف خارجی استفاده کرد.
این یافتهها کمتر از یک هفته پس از آن به دست آمد که مایکروسافت ترکیب مشابهی از فیشینگ AitM و حمله BEC را با هدف سازمانهای بانکی و خدمات مالی شرح داد.
کلاهبرداری BEC معمولاً مستلزم فریب هدف از طریق ایمیل برای ارسال پول یا افشای اطلاعات محرمانه شرکت است. علاوه بر شخصیسازی ایمیلها برای قربانی مورد نظر، مهاجم همچنین میتواند برای رسیدن به اهداف خود، شخصیت مورد اعتماد را جعل کند.
به نوبه خود، می توان با در دست گرفتن کنترل حساب از طریق یک طرح مهندسی اجتماعی پیچیده به دست آورد، به دنبال آن کلاهبردار به مشتریان یا تامین کنندگان شرکت فاکتورهای جعلی را ایمیل می کند که درخواست پرداخت به یک حساب بانکی تقلبی را دارند.
در زنجیره حمله مستند شده توسط Sygnia، مهاجم در حال ارسال یک ایمیل فیشینگ حاوی پیوندی به یک "سند مشترک" ادعایی بود که در نهایت قربانی را به صفحه فیشینگ AitM هدایت میکرد که برای جمعآوری اعتبارنامههای وارد شده و گذرواژههای یکبار مصرف طراحی شده بود.
علاوه بر این، گفته میشود که عوامل تهدید از دسترسی موقت به حساب در معرض خطر برای ثبت یک دستگاه احراز هویت چند عاملی جدید (MFA) سوء استفاده کردهاند تا بتوانند از یک آدرس IP متفاوت واقع در استرالیا، یک جای پایی از راه دور دائمی به دست آورند.
محققان Sygnia میگویند: «علاوه بر استخراج دادههای حساس از حساب قربانی، عامل تهدید از این دسترسی برای ارسال ایمیلهای فیشینگ جدید حاوی پیوند مخرب جدید به دهها کارمند مشتری و همچنین سازمانهای هدفمند دیگر استفاده کرد.
شرکت امنیت سایبری اسرائیل همچنین گفت که نامههای فیشینگ به شیوهای "کرم مانند" از یک شرکت مورد نظر به شرکت دیگر و در میان کارمندان همان شرکت پخش شده است. مقیاس دقیق این کمپین در حال حاضر مشخص نیست.
این توسعه زمانی انجام شد که Bolster یک کمپین کلاهبرداری گسترده جعل هویت نام تجاری را فاش کرد که از بیش از 3000 دامنه کپی استفاده می کند تا کاربران را به ارائه جزئیات ایمیل، رمز عبور و کارت اعتباری ترغیب کند.
محققان Sygnia میگویند: «پس از یک تلاش موفق فیشینگ، عامل تهدید به حساب یکی از کارمندان قربانی دسترسی اولیه پیدا کرد و یک حمله «دشمن در وسط» را برای دور زدن احراز هویت Office365 و دسترسی مداوم به آن حساب انجام داد. گزارشی که با The Hacker News به اشتراک گذاشته شده است.
پس از به دست آوردن دسترسی، عامل تهدید دادهها را از حساب در معرض خطر استخراج کرد و از دسترسی خود برای گسترش حملات فیشینگ علیه سایر کارمندان قربانی و چندین سازمان هدف خارجی استفاده کرد.
این یافتهها کمتر از یک هفته پس از آن به دست آمد که مایکروسافت ترکیب مشابهی از فیشینگ AitM و حمله BEC را با هدف سازمانهای بانکی و خدمات مالی شرح داد.
کلاهبرداری BEC معمولاً مستلزم فریب هدف از طریق ایمیل برای ارسال پول یا افشای اطلاعات محرمانه شرکت است. علاوه بر شخصیسازی ایمیلها برای قربانی مورد نظر، مهاجم همچنین میتواند برای رسیدن به اهداف خود، شخصیت مورد اعتماد را جعل کند.
به نوبه خود، می توان با در دست گرفتن کنترل حساب از طریق یک طرح مهندسی اجتماعی پیچیده به دست آورد، به دنبال آن کلاهبردار به مشتریان یا تامین کنندگان شرکت فاکتورهای جعلی را ایمیل می کند که درخواست پرداخت به یک حساب بانکی تقلبی را دارند.
در زنجیره حمله مستند شده توسط Sygnia، مهاجم در حال ارسال یک ایمیل فیشینگ حاوی پیوندی به یک "سند مشترک" ادعایی بود که در نهایت قربانی را به صفحه فیشینگ AitM هدایت میکرد که برای جمعآوری اعتبارنامههای وارد شده و گذرواژههای یکبار مصرف طراحی شده بود.
علاوه بر این، گفته میشود که عوامل تهدید از دسترسی موقت به حساب در معرض خطر برای ثبت یک دستگاه احراز هویت چند عاملی جدید (MFA) سوء استفاده کردهاند تا بتوانند از یک آدرس IP متفاوت واقع در استرالیا، یک جای پایی از راه دور دائمی به دست آورند.
محققان Sygnia میگویند: «علاوه بر استخراج دادههای حساس از حساب قربانی، عامل تهدید از این دسترسی برای ارسال ایمیلهای فیشینگ جدید حاوی پیوند مخرب جدید به دهها کارمند مشتری و همچنین سازمانهای هدفمند دیگر استفاده کرد.
شرکت امنیت سایبری اسرائیل همچنین گفت که نامههای فیشینگ به شیوهای "کرم مانند" از یک شرکت مورد نظر به شرکت دیگر و در میان کارمندان همان شرکت پخش شده است. مقیاس دقیق این کمپین در حال حاضر مشخص نیست.
این توسعه زمانی انجام شد که Bolster یک کمپین کلاهبرداری گسترده جعل هویت نام تجاری را فاش کرد که از بیش از 3000 دامنه کپی استفاده می کند تا کاربران را به ارائه جزئیات ایمیل، رمز عبور و کارت اعتباری ترغیب کند.