據(jù)有關(guān)網(wǎng)絡(luò)安全專家稱，自2020年5月起，他們就一直在跟蹤針對高級公司高管的網(wǎng)絡(luò)釣魚活動。黑客在網(wǎng)絡(luò)釣魚頁面中再次使用了受感染的主機，通過偽造虛假的Office 365密碼到期報告，竊取了上千個公司員工的憑據(jù)。

該活動主要針對金融，政府，制造業(yè)，房地產(chǎn)和技術(shù)等領(lǐng)域。在日本，美國，英國，加拿大，澳大利亞和幾個歐洲國家均出現(xiàn)了受害者。

迄今為止，已識別出300多個特殊的URL，以及來自八個受感染網(wǎng)站的70個電子郵件地址。其中，包括40份公司CEO、董事、公司創(chuàng)始人、所有者的合法郵件地址，以及其他企業(yè)員工的電子郵件地址。

作為誘餌，黑客使用了虛假的Office 365密碼過期報告，要求受害者單擊嵌入式鏈接，稱該鏈接允許他們繼續(xù)使用相同的密碼。但是，一旦潛在的受害者單擊“保留密碼”選項，他們就會被帶到網(wǎng)絡(luò)釣魚頁面。受損的基礎(chǔ)架構(gòu)和被盜的憑據(jù)被濫用來托管網(wǎng)絡(luò)釣魚頁面，并還在針對更多受害者。

作為攻擊的一部分，黑客使用了去年首次詳細(xì)描述的網(wǎng)絡(luò)釣魚工具，該工具被用于假冒Microsoft登錄頁面的類似攻擊中。該工具包可供出售，也可讓網(wǎng)絡(luò)罪犯驗證被盜的憑證的詳細(xì)信息和準(zhǔn)確性。

與此同時，專家還發(fā)現(xiàn)，黑客正在出售公司CEO，首席財務(wù)官（CFO）和財務(wù)部門成員等人的Office 365賬戶的失竊憑據(jù)。這些帖子在多個使用英語和俄語的論壇中被看到。值得注意的是，使用俄語的論壇上的所有帖子都是用英語完成的，并使用的是最近注冊的賬戶。在具體信息頁面害提供了受損的office 365 賬戶憑據(jù)以及員工各自的公司職位。

此活動中的大多數(shù)網(wǎng)絡(luò)釣魚電子郵件都是使用FireVPS的虛擬專用服務(wù)器（VPS）發(fā)送的，該公司為客戶提供各種Windows遠(yuǎn)程桌面協(xié)議（RDP）計劃。

此次網(wǎng)絡(luò)釣魚工具包似乎是類似工具的第四次迭代版，它還包括大量的IP地址范圍和域名列表，旨在阻止安全公司和大型云提供商訪問，可能是為了逃避檢測，因為該清單包括許多網(wǎng)絡(luò)安全和技術(shù)公司。

對來自配置錯誤站點中所收集的日志文件中的數(shù)據(jù)分析表明，竊取的憑據(jù)來自撰寫本文時托管惡意Office 365 V4工具包的八個受感染的釣魚網(wǎng)站。我們發(fā)現(xiàn)每個站點可能都是由不同的黑客針對規(guī)模和范圍不同的網(wǎng)絡(luò)釣魚活動而建立的。一項活動僅針對美國公司首席執(zhí)行官，總裁和創(chuàng)始人，而另一項活動針對來自美國，英國，加拿大，匈牙利，荷蘭和以色列等不同國家的董事和經(jīng)理。此外，黑客似乎大多從LinkedIn收集了目標(biāo)電子郵件地址。

美國公司CEO的電子郵件地址顯然是此活動的主要目標(biāo)，而其他人則使用相同的網(wǎng)絡(luò)釣魚工具。此類電子郵件使黑客可以進(jìn)行進(jìn)一步的網(wǎng)絡(luò)釣魚，破壞敏感信息以及進(jìn)行商業(yè)電子郵件泄露（BEC）和其他社會工程攻擊。

網(wǎng)絡(luò)釣魚攻擊和黑客通常以員工為目標(biāo)，員工通常是組織安全鏈中最薄弱的環(huán)節(jié)。有選擇地對公司高管進(jìn)行釣魚攻擊，黑客可以大大提高獲得的憑據(jù)的價值，因為它們可能導(dǎo)致對敏感的個人和組織信息進(jìn)一步訪問，并用于其他攻擊。

題圖來源：https://www.trendmicro.com/en_us/research/21/a/fake-office-365-used-for-phishing-attacks-on-c-suite-targets.html

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:trendmicro

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明