Новая фишинговая кампания использует тройку корпоративных облачных сервисов

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 20 Jul 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    169
    Likes Received:
    550
    Reputations:
    5
    Новая фишинговая кампания использует три корпоративных облачных сервиса: Microsoft Azure, Microsoft Dynamics и IBM Cloud, как часть инструментов для хищения учетных данные для входа.

    BleepingComputer недавно проанализировал новую фишинговую кампанию, которая организует рассылку якобы из службы поддержки под названием «servicedesk.com», имитирующую схожие формулировки, используемые в реальных доменах ИТ-службы поддержки в корпоративных средах.

    Письмо имитирует уведомление “quarantined mail”, часто рассылаемое на рабочих местах продуктами для защиты электронной почты и фильтрами спама, с просьбой «освободить» сообщения, застрявшие в очереди.
    [​IMG]Фишинговое электроннре письмо, якобы отправленное службой поддержки ИТ
    Поле «From:» (конверт) в электронном письме указан как «[email protected]», и хотя домены отправителя могут быть легко подделаны, заголовки почты для этой фишинговой кампании показывают, что электронное письмо было отправлено через этот домен.

    Как видно из заголовков писем ниже, фишинговая электронная почта отправляется через промежуточный домен «cn.trackhawk.pro», но исходный домен явно «servicedesk.com».

    В большинстве сценариев подделки электронной почты несоответствие между доменом электронной почты «От:» и доменом, указанным в самом нижнем заголовке «Received:», представляет собой красный флаг.

    В этой кампании домен «servicedesk.com» используется в адресе «From:» (конверт), который соответствует домену, указанному в продублрованном последнем заголовке «Received:», что упрощает обход фильтров спама.
    [​IMG]Оригинальные заголовки фишингового письма
    Эти заголовки указывают одну из двух вещей:
    1. Либо почтовые серверы «servicedesk.com» были скомпрометированы, и злоумышленники отправляют электронные письма через них, либо
    2. Злоумышленники отправляют электронные письма через домен «cn.trackhawk.pro», но вставляют поддельный заголовок «Received: from servicedesk.com ...» внизу, чтобы он соответствовал домену «From:» (конверт), устанавливая некоторые доверие.
    Интересно, что пинг IP-адреса, указанного в «Получено: от servicedesk.com ([104.37.188.73])», вернул тайм-ауты, указывающие, что он не активен.

    Однако IP-адрес «cn.trackhawk.pro» (66.23.232.62) правильно реагирует на эхо-запросы, указывая на то, что сценарий № 2 более вероятен.

    И что еще более важно, отсутствие проверок DMARC, DKIM и SPF в домене «servicedesk.com» позволяет спамерам использовать этот домен, как продемонстрировано в этих атаках.

    Домены Microsoft и IBM добавляют легитимность

    Использование трех известных корпоративных решений, таких как хостинг IBM Cloud, Microsoft Azure и Microsoft Dynamics, для размещения целевых страниц фишинга повышает легитимность кампании.

    Это особенно верно, поскольку домены, размещенные в Azure (windows.net) или IBM Cloud, автоматически получают бесплатные SSL-сертификаты, содержащие имена этих компаний, что добавляет еще больше достоверности рассылке.
    [​IMG]
    Сертификат IBM Cloud
    В фишинговом электронном письме есть кнопки с надписью «RELEASE MESSAGES» или «CLEAN-UP CLOUD», которые при нажатии загружают допустимый URL-адрес Microsoft Dynamics 365.

    Затем этот URL перенаправляет пользователя в домен IBM Cloud cf.appdomain.cloud, используемый для развертываний IBM Cloud Foundry, с целевой страницей фишинга.

    [​IMG]
    Целевая страница на сервере IBM Cloud
    Эта целевая страница разработана с некоторой степенью осведомленности со стороны злоумышленника, поскольку при вводе слишком слабого «тестового» пароля выдается ошибка «wrong password!!».

    Ввод пароля достаточной длины и сложности, соответствующего критериям, установленным IBM Cloud, перенаправит пользователя на другую поддельную страницу, подтверждающую хост обновления настроек на хосте Microsoft Azures, windows.net.
    [​IMG]Последняя целевая страница в домене Azure для windows.net
    Эта вредоносная страница в конечном итоге перенаправляет пользователя на веб-сайт, связанный с доменом его адреса электронной почты.

    В этом случае конечным пунктом назначения будет «axsharma.com».

    Фишинговые электронные письма - это повседневная неприятность как для деловых, так и для личных пользователей электронной почты, но они могут привести к очень тяжелым последствиям, включая кражу данных и атаки вымогателей в масштабах предприятия.

    Растет число случаев фишинговых кампаний, использующих законную облачную инфраструктуру, поскольку они добавляют легитимность фишинговым атакам и предоставляют бесплатные SSL-сертификаты.

    Эта повышенная сложность позволяет злоумышленникам потенциально обходить спам-фильтры и продукты безопасности, что приводит к большей потребности в сложных системах безопасности в этой бесконечной игре в кошки-мышки.

    Источник: https://www.bleepingcomputer.com/ne...n-abuses-a-trio-of-enterprise-cloud-services/
     
    Suicide likes this.
Loading...