4006-555-883

Office 365网络钓鱼滥用Oracle和Amazon云服务

发布时间:2020-11-30 10:34:00

  在美国和澳大利亚,有一个相当复杂的网络钓鱼方案,它从美国和澳大利亚的中小型企业窃取office365凭证,将甲骨文和亚马逊的云服务整合到其基础设施中。

  这场运动已经活跃了半年多,并使用了一个合法网站的网络,这些网站已经被破坏,作为一个代理链。



  简单诱饵

  运营商用虚假的语音信息通知和缩放邀请诱饵来诱骗接收者,最终导致受害者进入钓鱼页面收集登录凭证。

  网络安全公司migrate表示,尽管有简单的诱饵和目的,但这项活动非常突出,就像通过合法服务和网站进行过滤一样复杂。

  根据他们的研究,威胁参与者从泄露的电子邮件帐户发送钓鱼消息,并在重定向链中使用Amazon Web服务(AWS)和Oracle云。

  “点击链接后,用户将通过几个代理(包括AWS负载平衡器)重定向到一个合法但遭到破坏的网站”-Ofir Rozmann,Miligate的威胁情报

  重定向流

  接下来,受害者会被重定向到一个被黑客攻击的网站,该网站会把他们带到主要由甲骨文云计算服务托管的假的office365页面。

  在某些情况下,参与者使用Amazon简单存储服务(amazons3)。在此页面上输入的凭据将自动传递到另一个被黑客攻击的网站。

  Midge说,他们发现了40多个受到攻击的网站,这些网站都是这次Office 365网络钓鱼活动的一部分。

  有线索表明网络钓鱼是一种服务

  在假的office365页面的HTML代码中找到的线索表明,该基础设施是租给多个客户的钓鱼即服务业务的一部分。

  这方面的证据是注释性的指令,如“//Set Link Here”以及变量、函数名或收到被盗凭证的受损站点的细微差异,这可能表明多个参与方使用同一个基础设施。

  研究人员还发现了亚洲一些地区的参考资料,如Gagal(伊朗)、Kurang(印度)和Kosong(朝鲜),以及印尼语单词(“tombol”-button,“tekan”-press,“kolom”-列,“kirim”-send)。

  这可能暗示了钓鱼即服务业务的运营商或他们的客户。然而,这些也可能是误导研究人员的错误标志。

  根据分析的电子邮件地址,Midge确定此次网络钓鱼行动的目标主要是中小型企业以及主要金融机构的C级高管。

  为避免成为这些攻击的受害者,建议:

  为Office 365登录启用双因素身份验证(2FA)

  强制Office 365密码更新

  检查电子邮件帐户中的转发规则

  在电子邮件收件箱中搜索隐藏的文件夹,并在不同的位置搜索邮件

  记录对邮箱登录和设置的更改,并将数据保留至少90天

  对可疑活动(如异常登录)启用警报,并分析服务器日志中是否存在异常电子邮件访问。

  考虑使用红色团队模拟类似的攻击场景,以测试组织的网络钓鱼意识

  【参考来源:bleepingcomputer】

最新发布
1
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
2
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
3
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
4
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
5
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
6
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
7
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
8
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
9
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
10
关于印发《国家密码科学基金管理办法(试行)》的通知
相关推荐
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
关于印发《国家密码科学基金管理办法(试行)》的通知
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!