- 20,215
- 46
- 8 Ноя 2022
80 доменов, однократные ссылки, визуальные ловушки: изнанка современного фишинга.
Исследователи SOC компании Stripe OLT выявили масштабную целенаправленную фишинговую кампанию , ориентированную на топ-менеджеров и руководителей высшего звена из разных отраслей. Атакующие рассылают письма, замаскированные под внутреннюю переписку HR-отдела, где получателю предлагается ознакомиться с изменениями в зарплате через документ в OneDrive . Темы сообщений выглядят как Salary amendment или FIN_SALARY. Ссылка в письме ведет на поддельную страницу входа Microsoft Office/OneDrive, оформленную максимально правдоподобно и персонализированную под жертву: в ней отображаются имя сотрудника и данные его компании. Таким образом злоумышленники крадут корпоративные учетные данные.
Кампания тщательно спланирована. Для рассылки используется инфраструктура Amazon Simple Email Service (SES), а чтобы обходить блокировки, применяются десятки доменов и поддоменов, число которых уже превысило восемьдесят. Противнику помогает метод «разогрева»: за несколько дней до основной атаки жертве отправляется нейтральное письмо без вредоносного содержимого. Непосредственно в фишинговом сообщении применяются скрытые символы и внешние ссылки на ресурсы с высоким рейтингом доверия, что снижает вероятность обнаружения фильтрами . Каждый адрес для кражи данных работает только один раз и после открытия самоуничтожается, исключая возможность повторной проверки.
Для обслуживания всей инфраструктуры злоумышленники используют сразу несколько провайдеров. Рассылка ведется через Amazon SES, в роли DNS и nameserver-провайдера часто выступает Cloudflare, а хостинг фишинговых страниц фиксировался на Akamai Cloud, ранее известном как Linode. Большинство доменов регистрировалось в Mat Bao Corporation, дополнительные регистраторы — WebNic.cc и Luxhost. Внутри писем реализованы приёмы обхода фильтрации: например, в светлой теме интерфейса кнопки видны как Open и Share, а в тёмной проявляются добавочные символы, превращающие их в случайные строки наподобие twPOpenHuxv или gQShareojxYI. Это разрушает триггерные слова и мешает системам безопасности обнаруживать шаблоны.
Под ударом оказались именно те сотрудники, кто имеет критически важный доступ к данным и ресурсам компании. SOC предупреждает, что в таких условиях простое обучение пользователей не способно полностью защитить организацию. Руководителям и их помощникам рекомендуют проявлять особую осторожность при получении писем с неожиданными документами, особенно связанными с зарплатой или кадровыми вопросами, и оперативно сообщать о подозрительных сообщениях в службу безопасности. Для ИТ-подразделений важна проактивная охота за индикаторами компрометации и блокировка выявленных доменов. Для поиска подобных атак в Microsoft Sentinel предлагается использовать запрос KQL, позволяющий выявлять входящие письма с темой FIN_SALARY.
Расследование уже выявило обширный список задействованных доменов, среди которых встречаются hr-fildoc[.]com, docutransit[.]com, seamlessshare[.]com, filershare[.]com, mysharedfiling[.]com, documentmagnet[.]com, signifile[.]com и многие другие. Все они связаны с текущей кампанией и применяются для обмана систем защиты и перенаправления жертв на поддельные страницы входа . В компании подчеркивают, что атака демонстрирует всё более изощренную эволюцию целевого фишинга, в котором используются индивидуализация, однократные URL и продуманные методы маскировки, что делает такие кампании особенно опасными для организаций.
Исследователи SOC компании Stripe OLT выявили масштабную целенаправленную фишинговую кампанию , ориентированную на топ-менеджеров и руководителей высшего звена из разных отраслей. Атакующие рассылают письма, замаскированные под внутреннюю переписку HR-отдела, где получателю предлагается ознакомиться с изменениями в зарплате через документ в OneDrive . Темы сообщений выглядят как Salary amendment или FIN_SALARY. Ссылка в письме ведет на поддельную страницу входа Microsoft Office/OneDrive, оформленную максимально правдоподобно и персонализированную под жертву: в ней отображаются имя сотрудника и данные его компании. Таким образом злоумышленники крадут корпоративные учетные данные.
Кампания тщательно спланирована. Для рассылки используется инфраструктура Amazon Simple Email Service (SES), а чтобы обходить блокировки, применяются десятки доменов и поддоменов, число которых уже превысило восемьдесят. Противнику помогает метод «разогрева»: за несколько дней до основной атаки жертве отправляется нейтральное письмо без вредоносного содержимого. Непосредственно в фишинговом сообщении применяются скрытые символы и внешние ссылки на ресурсы с высоким рейтингом доверия, что снижает вероятность обнаружения фильтрами . Каждый адрес для кражи данных работает только один раз и после открытия самоуничтожается, исключая возможность повторной проверки.
Для обслуживания всей инфраструктуры злоумышленники используют сразу несколько провайдеров. Рассылка ведется через Amazon SES, в роли DNS и nameserver-провайдера часто выступает Cloudflare, а хостинг фишинговых страниц фиксировался на Akamai Cloud, ранее известном как Linode. Большинство доменов регистрировалось в Mat Bao Corporation, дополнительные регистраторы — WebNic.cc и Luxhost. Внутри писем реализованы приёмы обхода фильтрации: например, в светлой теме интерфейса кнопки видны как Open и Share, а в тёмной проявляются добавочные символы, превращающие их в случайные строки наподобие twPOpenHuxv или gQShareojxYI. Это разрушает триггерные слова и мешает системам безопасности обнаруживать шаблоны.
Под ударом оказались именно те сотрудники, кто имеет критически важный доступ к данным и ресурсам компании. SOC предупреждает, что в таких условиях простое обучение пользователей не способно полностью защитить организацию. Руководителям и их помощникам рекомендуют проявлять особую осторожность при получении писем с неожиданными документами, особенно связанными с зарплатой или кадровыми вопросами, и оперативно сообщать о подозрительных сообщениях в службу безопасности. Для ИТ-подразделений важна проактивная охота за индикаторами компрометации и блокировка выявленных доменов. Для поиска подобных атак в Microsoft Sentinel предлагается использовать запрос KQL, позволяющий выявлять входящие письма с темой FIN_SALARY.
Расследование уже выявило обширный список задействованных доменов, среди которых встречаются hr-fildoc[.]com, docutransit[.]com, seamlessshare[.]com, filershare[.]com, mysharedfiling[.]com, documentmagnet[.]com, signifile[.]com и многие другие. Все они связаны с текущей кампанией и применяются для обмана систем защиты и перенаправления жертв на поддельные страницы входа . В компании подчеркивают, что атака демонстрирует всё более изощренную эволюцию целевого фишинга, в котором используются индивидуализация, однократные URL и продуманные методы маскировки, что делает такие кампании особенно опасными для организаций.
- Источник новости
- www.securitylab.ru
