Фишинговая кампания с Office 365 использует серверы Samsung, Adobe и Оксфордcкого университета

Хакеры разрабатывают сложные фишинговые атаки, чтобы обойти фильтры безопасности и закрепиться в корпоративных сетях

 ∙ Хакеры взломали почтовый сервер Оксфордcкого университета, чтобы отправлять вредоносные письма жертвам

∙ 43% этих атак были направлены на европейские компании, а остальные были замечены в Азии и на Ближнем Востоке

∙ Хакеры используют домен Samsung, размещенный на сервере Adobe, который не использовался после киберпонедельника в 2018 году.

За последние несколько лет использование Office 365 в корпоративном секторе значительно возросло. Популярность их продуктов привлекла внимание киберпреступников, которые стали запускать фишинговые кампании для атак на эту платформу.

Исследователи из Check Point раскрыли сложную фишинговую кампанию, нацеленную на сбор корпоративных данных, которые хранятся в учетных записях Microsoft Office 365. Для того, чтобы избежать обнаружения программами безопасности, злоумышленники использовали названия известных организаций — Оксфордского университета, Adobe и Samsung.

Чтобы рассылать своим жертвам вредоносные письма, хакеры взломали почтовый сервер Оксфордского университета. В электронных письмах содержались ссылки, которые перенаправляли жертв на сервер Adobe –– ранее он использовался компанией Samsung. Это позволяло хакерам создать видимость легитимного домена Samsung –– это повышало доверие у жертв. Таким образом, жертвы перенаправлялись как бы на страничку ввода учетных данных для входа в Office 365.

Взлом оксфордского почтового сервера 

В начале апреля 2020 года исследователи Check Point стали просматривать электронные письма, отправленные жертвам с темой «Голосовая почта Office 365». Электронные письма сообщали, что для прослушивания письма нужно перейти по ссылке. Если жертва нажимала на ссылку, ее перенаправляли на фишинговую страницу, маскирующуюся под страницу входа в Office 365.

 Письма приходили с нескольких сгенерированных адресов, которые принадлежали настоящим поддоменам разных отделов Оксфордского университета. Заголовки электронной почты показывают, что хакеры нашли способ злоупотребить одним из Оксфордских SMTP-серверов (простой протокол передачи почты), основными функциями которого является отправка, получение и / или ретрансляция исходящей почты. Использование законных Оксфордских SMTP-серверов позволило хакерам пройти проверку репутации, которую требуют меры безопасности для домена отправителя.

  Перенаправления с доверенного URL-адреса Samsung

 За прошедший год открытые перенаправления Google и Adobe использовались фишинговыми кампаниями для придания легитимности URL-адресам, используемым в спам-письмах. Открытое перенаправление –– URL-адрес на веб-сайте, который может использоваться любым лицом для перенаправления пользователей на другой сайт. В этом случае ссылки в сообщении электронной почты будут перенаправлены на сервер Adobe, ранее использовавшийся компанией Samsung во время маркетинговой кампании киберпонедельника 2018 года. Другими словами, ссылка, встроенная в исходное фишинговое электронное письмо, является частью доверенного домена Samsung, по которому, не зная об этом, жертвы перенаправляются на веб-сайт, размещенный хакерами. Используя определенный формат ссылок Adobe Campaign и законный домен, злоумышленники увеличили шансы своей электронной почты на обход защитных решений на основе репутации, черных списков и шаблонов URL.

«То, что сначала казалось классической фишинг-кампанией с Office 365, оказалось шедевральной стратегией: использование известных и авторитетных брендов для обхода продуктов безопасности на пути к жертвам, –– рассказывает Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point. –– Сейчас это лучший способ, чтобы закрепиться в корпоративной сети. Нахождение в корпоративной почте может предоставить хакерам неограниченный доступ ко всем операциям компании: транзакции, финансовые отчеты, отправка электронных писем внутри компании из надежного источника, паролей и даже адресов облачных активов компании. Чтобы осуществить атаку, хакер смог получить доступ к серверам Samsung и Oxford, а это значит, что он понял их внутреннюю работу ––это позволило ему остаться незамеченным».

Советы безопасности для пользователей Office 365 

  1. Используйте разные пароли для вашего облачного приложения. Это может защитить ваши аккаунты, если один из них будет взломан.
  2. Используйте решения безопасности для почты и для облаков. Тот факт, что подобные кампании процветают, доказывает, что встроенные решения безопасности легко обойти –– используйте дополнительную защиту от проникновения угроз.
  3. Не вводите свои учетные данные, если вас неожиданно просят их ввести. Часто это действия киберпреступников.

Компания Check Point уже проинформировала Оксфордский университет, компании Adobe и Samsung о своих выводах.

www.checkpoint.com

 

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку