一种复杂的鱼叉式网络钓鱼活动已经出现,针对多个行业的高级管理人员和最高管理层人员,利用 Microsoft OneDrive 作为主要攻击媒介。
该活动利用精心制作的电子邮件,伪装成有关薪资修正案的内部人力资源沟通,以诱骗知名目标交出其公司资历。
这一最新威胁代表了社会工程策略的令人担忧的升级,将个性化内容与先进的规避技术相结合,以绕过传统的安全措施。
攻击者采用有条不紊的方法,首先在发起实际网络钓鱼尝试前几天发送良性的初步电子邮件,从而“预热”收件人收件箱。
恶意电子邮件的主题行包含“工资修正案”或“FIN_SALARY”引用,并显示为合法的 OneDrive 文档共享通知。
每条消息都经过精心定制,包含收件人的姓名和公司详细信息,显着提高了活动的可信度和成功的可能性。
Stripe OLT 分析师在监控威胁形势活动时发现了此活动,发现攻击者正在利用 Amazon Simple Email Service (SES) 基础设施进行交付,同时轮换大约 80 个不同的域和子域以逃避检测。
网络钓鱼基础设施跨越多个服务提供商,包括用于 DNS 服务的 Cloudflare、用于托管的 Akamai Cloud,以及用于域名注册的 Mat Bao Corporation,展示了该活动复杂的运营安全方法。
高级规避技术
该活动采用了特别巧妙的反检测机制,利用电子邮件客户端的显示差异。在标准浅色模式下查看时,电子邮件按钮显示为无害的“打开”和“共享”标签。
然而,切换到深色模式会发现隐藏的填充,其中包含随机字母数字字符串,例如“twPOpenHuxv”和“gQShareojxYl”,这些字符串会对高值触发词进行碎片处理,从而有效规避安全电子邮件网关采用的基于字符串的检测规则。
凭据收集页面提供了一个令人信服的 Microsoft Office/OneDrive 登录界面,该界面以访问安全工资文档为借口请求身份验证详细信息。
这些网络钓鱼 URL 专为一次性访问而设计,在访问后会自动自毁,以消除取证证据并使事件响应工作复杂化。
安全团队可以实施有针对性的搜寻查询,以识别潜在的入侵尝试。
以下 KQL 查询可以检测与观察到的主题模式匹配的电子邮件:-
EmailEvents
| where Subject contains "FIN_SALARY"
| where EmailDirection == "Inbound"
| project Timestamp, RecipientEmailAddress, SenderMailFromDomain, Subject组织应立即阻止已识别的恶意域,包括 letzdoc.com、hr-fildoc.com 和 docutransit.com,同时实施增强的意识培训,专门针对高管及其行政人员,他们仍然是这些复杂攻击的主要目标。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
