本文转载自微信官方账号“安数网络”(anshunet)。
据网络安全专家介绍,自2020年5月以来,他们一直在跟踪高级公司高管的网络钓鱼活动。黑客通过伪造虚假主机,在网络钓鱼页面上再次使用感染主机Office 365密码到期报告窃取了数千名公司员工的凭证。
该活动主要针对金融、政府、制造业、房地产和技术。受害者出现在日本、美国、英国、加拿大、澳大利亚和几个欧洲国家。
到目前为止,已经识别出300多个特殊项目URL,以及来自八个感染网站的70个电子邮件地址。包括40家公司CEO、董事、公司创始人、所有人的合法邮件地址,以及其他企业员工的邮件地址。
作为诱饵,黑客使用虚假诱饵Office 365密码过期报告要求受害者单击嵌入式链接,称该链接允许他们继续使用相同的密码。然而,一旦潜在受害者单击“保留密码”选项,他们将被带到在线钓鱼页面。攻击者正在使用损坏的基础设施和受害者的账户凭证来托管在线钓鱼页面,并仍然针对更多的受害者。
黑客作为攻击的一部分,使用了去年首次详细描述的网络钓鱼工具,用于假冒Microsoft登录页面的类似攻击。工具包可以出售,也可以让网络罪犯验证被盗凭证的详细信息和准确性。
与此同时,专家还发现黑客正在出售公司CEO,首席财务官(CFO)财务部门成员和其他人Office 365账户盗窃凭证。这些帖子在许多使用英语和俄语的论坛上都可以看到。值得注意的是,俄语论坛上的所有帖子都是用英语完成的,并使用最近注册的账户。损坏的信息页面也在特定的信息页面上提供office 365 账户凭证和员工各自的公司职位。
本次活动的网络钓鱼电子邮件大多使用FireVPS虚拟专用服务器(VPS)该公司为客户提供各种服务Windows远程桌面协议(RDP)计划。
网络钓鱼工具包似乎是类似工具的第四个迭代版本,它还包括大量的IP地址范围和域名列表旨在防止安全公司和大型云提供商访问,因为该列表包括许多网络安全和技术公司。
从配置错误站点收集的日志文件中的数据分析表明,窃取的证据来自写本文时的恶意托管Office 365 V4工具包的八个感染性钓鱼网站。我们发现,每个网站可能都是由不同的黑客为不同的规模和范围的在线钓鱼活动建立的。一项活动只针对美国公司的首席执行官、总裁和创始人,另一项针对来自美国、英国、加拿大、匈牙利、荷兰和以色列的董事和经理。此外,大多数黑客似乎都来自LinkedIn收集目标电子邮件地址。
美国公司CEO电子邮件地址显然是该活动的主要目标,其他人使用相同的在线钓鱼工具。这种电子邮件允许黑客进一步在线钓鱼,破坏敏感信息,并泄露商业电子邮件(BEC)攻击其他社会工程。
网络钓鱼攻击和黑客通常以员工为目标,员工通常是组织安全链中最薄弱的环节。有选择地对公司高管进行钓鱼攻击,黑客可以大大提高获得的凭据的价值,因为它们可能导致对敏感的个人和组织信息进一步访问,并用于其他攻击。
参考链接:
https://www.trendmicro.com/en_us/research/21/a/fake-office-365-used-for-phishing-attacks-on-c-suite-targets.html