Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Фишинговая кампания с Office 365 использует серверы Samsung, Adobe и Оксфордского университета

22/06/20

За последние несколько лет использование Office 365 в корпоративном секторе значительно возросло. Популярность их продуктов привлекла внимание киберпреступников, которые стали запускать фишинговые кампании для атак на эту платформу.

Исследователи из Check Point раскрыли сложную фишинговую кампанию, нацеленную на сбор корпоративных данных, которые хранятся в учетных записях Microsoft Office 365. Для того, чтобы избежать обнаружения программами безопасности, злоумышленники использовали названия известных организаций -- Оксфордского университета, Adobe и Samsung.

Чтобы рассылать своим жертвам вредоносные письма, хакеры взломали почтовый сервер Оксфордского университета. В электронных письмах содержались ссылки, которые перенаправляли жертв на сервер Adobe –– ранее он использовался компанией Samsung. Это позволяло хакерам создать видимость легитимного домена Samsung –– это повышало доверие у жертв. Таким образом, жертвы перенаправлялись как бы на страничку ввода учетных данных для входа в Office 365.

image002

Взлом оксфордского почтового сервера

В начале апреля 2020 года исследователи Check Point стали просматривать электронные письма, отправленные жертвам с темой «Голосовая почта Office 365». Электронные письма сообщали, что для прослушивания письма нужно перейти по ссылке. Если жертва нажимала на ссылку, ее перенаправляли на фишинговую страницу, маскирующуюся под страницу входа в Office 365.

Письма приходили с нескольких сгенерированных адресов, которые принадлежали настоящим поддоменам разных отделов Оксфордского университета. Заголовки электронной почты показывают, что хакеры нашли способ злоупотребить одним из Оксфордских SMTP-серверов (простой протокол передачи почты), основными функциями которого является отправка, получение и / или ретрансляция исходящей почты. Использование законных Оксфордских SMTP-серверов позволило хакерам пройти проверку репутации, которую требуют меры безопасности для домена отправителя.

Перенаправления с доверенного URL-адреса Samsung

За прошедший год открытые перенаправления Google и Adobe использовались фишинговыми кампаниями для придания легитимности URL-адресам, используемым в спам-письмах. Открытое перенаправление –– URL-адрес на веб-сайте, который может использоваться любым лицом для перенаправления пользователей на другой сайт. В этом случае ссылки в сообщении электронной почты будут перенаправлены на сервер Adobe, ранее использовавшийся компанией Samsung во время маркетинговой кампании киберпонедельника 2018 года. Другими словами, ссылка, встроенная в исходное фишинговое электронное письмо, является частью доверенного домена Samsung, по которому, не зная об этом, жертвы перенаправляются на веб-сайт, размещенный хакерами. Используя определенный формат ссылок Adobe Campaign и законный домен, злоумышленники увеличили шансы своей электронной почты на обход защитных решений на основе репутации, черных списков и шаблонов URL.

«То, что сначала казалось классической фишинг-кампанией с Office 365, оказалось шедевральной стратегией: использование известных и авторитетных брендов для обхода продуктов безопасности на пути к жертвам, –– рассказывает Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point. –– Сейчас это лучший способ, чтобы закрепиться в корпоративной сети. Нахождение в корпоративной почте может предоставить хакерам неограниченный доступ ко всем операциям компании: транзакции, финансовые отчеты, отправка электронных писем внутри компании из надежного источника, паролей и даже адресов облачных активов компании. Чтобы осуществить атаку, хакер смог получить доступ к серверам Samsung и Oxford, а это значит, что он понял их внутреннюю работу ––это позволило ему остаться незамеченным».

Темы:ПреступленияCheck PointфишингMicrosoft Office
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...