检查点未展开针对Microsoft Office 365网络钓鱼活动
检查点已发现,在Microsoft Office 365帐户上,已发现家庭名称的复杂性网络钓鱼攻击活动纳入家庭名称,并收集存储在Microsoft Office 365帐户上的Harvest登录凭据。
网络罪犯被劫持了一个牛津大学的电子邮件服务器,以轰击具有恶意电子邮件的目标,其中包含将三星用于2018个网络星期一销售赛事中使用的现在冗余的Adobe服务器的链接 - 这让广告系列背后的集团利用了合法的外观三星域名诱使受害者分享他们的办公室365登录。
“首次似乎是一个经典的办公室365网络钓鱼活动,原来是杰作的战略:使用众所周知的和信誉良好的品牌来逃避对受害者的途中的安全产品,”Check Point威胁情报经理,Lotem Finkelsteen说。
“如今,这是在企业网络中建立立足点的最佳技术。访问公司邮件可以允许黑客无限制地访问公司的业务,例如交易,财务报告,从公司的云资产的可靠来源,密码甚至地址发送公司内的电子邮件。
“为了拉开攻击,黑客必须进入三星和牛津大学服务器,这意味着他有时间了解他们的内在工作,让他不受表情。”
检查点的研究人员首先于20月2020年4月提醒了该竞选活动,当时他们发现了向受害者发送给名为“Office 365语音邮件”的受害者来自来自牛津大学的合法子域的多个生成地址的受害者。
这些电子邮件声称传入的语音消息正在等待用户在其语音门户中的用户,并且通过单击封闭的链接,用户被重定向到伪装为Office 365登录页面的网络钓鱼页面。
Finkelsteen透露,黑客已经找到了一种滥用大学的SMTP服务器的方法 - 该应用程序用于在发件人和收件人之间发送,接收和中继传出电子邮件。使用合法大学的牛津SMTP服务器让网络犯罪分子有效地绕过了发件人域中的安全措施通常需要的声誉检查。
他说,这种特殊的竞选反映在一定程度上,在某种程度上,在某种程度上,在某种程度上,在网络犯罪地下使用谷歌和Adobe开放重定向在网络钓鱼活动中为垃圾邮件中使用的URL添加了额外的合法性 - 这越来越受到过去的流行12个月。
在这种情况下,将不知名的受害者重定向到先前使用的服务器意味着嵌入在原始网络钓鱼电子邮件中的关键链接是可信三星域词的一部分 - 虽然现在被用于恶意目的。
Finkelsteen解释说,在使用特定的Adobe Campaign链接格式和合法的三星域名,网络罪犯将增加他们的电子邮件将不受注意到过去的许多电子邮件安全解决方案释放过诸如声誉,黑名单和黑名单和URL模式。实际上,这意味着唯一的损害障碍成为用户本身。
检查点已通知这些组织在网络钓鱼活动中命名。