Birincil saldırı vektörü olarak Microsoft OneDrive’dan yararlanarak, birden fazla endüstride üst düzey yöneticileri ve C-suite personelini hedefleyen sofistike bir mızrak-akhis kampanyası ortaya çıktı.
Kampanya, yüksek profilli hedefleri kurumsal kimlik bilgilerini teslim etmek için kandırmak için maaş değişiklikleri hakkında dahili İK iletişimi olarak maskelenen özenle hazırlanmış e-postalar kullanıyor.
Bu son tehdit, kişiselleştirilmiş içeriği geleneksel güvenlik önlemlerini atlamak için ileri kaçaklama teknikleriyle birleştirerek sosyal mühendislik taktiklerinde bir yükselişle ilgili bir artışı temsil ediyor.
Saldırganlar, gerçek kimlik avı girişimini başlatmadan günler önce iyi huylu ön e -postalar göndererek “ısınma” alıcısı gelen kutuları ile başlayarak metodik bir yaklaşım kullanıyor.
.webp)
Kötü niyetli e-postalar, “Maaş Değişikliği” veya “Fin_salary” referanslarını içeren konu satırlarına sahiptir ve meşru onedrive belge paylaşım bildirimleri olarak görünür.
Her mesaj, alıcının adı ve şirket detayları ile titizlikle özelleştirilir, bu da kampanyanın güvenilirliğini ve başarı olasılığını önemli ölçüde artırır.
Stripe OLT analistleri, tehdit peyzaj faaliyetlerini izlerken bu kampanyayı belirledi ve saldırganların tespit için Amazon Basit E -posta Hizmeti (SES) altyapısını, tespitten kaçınmak için yaklaşık 80 farklı alan ve alt alanda dönerken kullandıklarını keşfetti.
.webp)
Kimlik avı altyapısı, DNS hizmetleri için Cloudflare, barındırma için Akamai Cloud ve öncelikle alan adı kaydı için MAT BAO Corporation dahil olmak üzere kampanyanın sofistike operasyonel güvenlik yaklaşımını gösteren birden fazla servis sağlayıcısını kapsamaktadır.
Gelişmiş Kırılma Teknikleri
Kampanya, e-posta istemcisi ekran farklılıklarını kullanan özellikle akıllıca belirleme önleme mekanizmaları kullanıyor. Standart ışık modunda görüntülendiğinde, e -posta düğmeleri zararsız “açık” ve “paylaş” etiketleri olarak görünür.
Bununla birlikte, karanlık moda geçiş, yüksek değerli parçaları tetikleyen “Twpopenhuxv” ve “gqShareojxyl” gibi randomize alfasayısal dizeler içeren gizli dolgu ortaya çıkar ve güvenli e-posta ağ geçitleri tarafından kullanılan dize tabanlı algılama kurallarını etkili bir şekilde atlatır.
Kimlik bilgisi hasat sayfası, güvenli bir maaş belgesine erişme iddiası altında kimlik doğrulama ayrıntıları isteyen ikna edici bir Microsoft Office/OneDrive oturum açma arabirimi sunar.
Bu kimlik avı URL’leri, adli kanıtları ortadan kaldırmak ve olay müdahale çabalarını karmaşıklaştırmak için ziyaret edildikten sonra otomatik olarak kendi kendini yok eden tek kullanımlık erişim için tasarlanmıştır.
Güvenlik ekipleri, olası uzlaşma girişimlerini belirlemek için hedeflenen av sorgularını uygulayabilir.
Aşağıdaki KQL sorgusu, gözlemlenen konu kalıplarıyla eşleşen e-postaları algılayabilir:-
EmailEvents
| where Subject contains "FIN_SALARY"
| where EmailDirection == "Inbound"
| project Timestamp, RecipientEmailAddress, SenderMailFromDomain, SubjectKuruluşlar, özellikle bu sofistike saldırılar için birincil hedef olarak kalan yöneticileri ve yöneticilerini hedefleyen gelişmiş farkındalık eğitimi uygularken, Letzdoc.com, HR-Fildoc.com ve Docutransit.com gibi belirlenmiş kötü amaçlı alanları hemen engellemelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.