Фишинговая кампания с Office 365 использует серверы Samsung, Adobe и Оксфордского университета
22/06/20
За последние несколько лет использование Office 365 в корпоративном секторе значительно возросло. Популярность их продуктов привлекла внимание киберпреступников, которые стали запускать фишинговые кампании для атак на эту платформу.
Исследователи из Check Point раскрыли сложную фишинговую кампанию, нацеленную на сбор корпоративных данных, которые хранятся в учетных записях Microsoft Office 365. Для того, чтобы избежать обнаружения программами безопасности, злоумышленники использовали названия известных организаций -- Оксфордского университета, Adobe и Samsung.
Чтобы рассылать своим жертвам вредоносные письма, хакеры взломали почтовый сервер Оксфордского университета. В электронных письмах содержались ссылки, которые перенаправляли жертв на сервер Adobe –– ранее он использовался компанией Samsung. Это позволяло хакерам создать видимость легитимного домена Samsung –– это повышало доверие у жертв. Таким образом, жертвы перенаправлялись как бы на страничку ввода учетных данных для входа в Office 365.
Взлом оксфордского почтового сервера
В начале апреля 2020 года исследователи Check Point стали просматривать электронные письма, отправленные жертвам с темой «Голосовая почта Office 365». Электронные письма сообщали, что для прослушивания письма нужно перейти по ссылке. Если жертва нажимала на ссылку, ее перенаправляли на фишинговую страницу, маскирующуюся под страницу входа в Office 365.
Письма приходили с нескольких сгенерированных адресов, которые принадлежали настоящим поддоменам разных отделов Оксфордского университета. Заголовки электронной почты показывают, что хакеры нашли способ злоупотребить одним из Оксфордских SMTP-серверов (простой протокол передачи почты), основными функциями которого является отправка, получение и / или ретрансляция исходящей почты. Использование законных Оксфордских SMTP-серверов позволило хакерам пройти проверку репутации, которую требуют меры безопасности для домена отправителя.
Перенаправления с доверенного URL-адреса Samsung
За прошедший год открытые перенаправления Google и Adobe использовались фишинговыми кампаниями для придания легитимности URL-адресам, используемым в спам-письмах. Открытое перенаправление –– URL-адрес на веб-сайте, который может использоваться любым лицом для перенаправления пользователей на другой сайт. В этом случае ссылки в сообщении электронной почты будут перенаправлены на сервер Adobe, ранее использовавшийся компанией Samsung во время маркетинговой кампании киберпонедельника 2018 года. Другими словами, ссылка, встроенная в исходное фишинговое электронное письмо, является частью доверенного домена Samsung, по которому, не зная об этом, жертвы перенаправляются на веб-сайт, размещенный хакерами. Используя определенный формат ссылок Adobe Campaign и законный домен, злоумышленники увеличили шансы своей электронной почты на обход защитных решений на основе репутации, черных списков и шаблонов URL.
«То, что сначала казалось классической фишинг-кампанией с Office 365, оказалось шедевральной стратегией: использование известных и авторитетных брендов для обхода продуктов безопасности на пути к жертвам, –– рассказывает Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point. –– Сейчас это лучший способ, чтобы закрепиться в корпоративной сети. Нахождение в корпоративной почте может предоставить хакерам неограниченный доступ ко всем операциям компании: транзакции, финансовые отчеты, отправка электронных писем внутри компании из надежного источника, паролей и даже адресов облачных активов компании. Чтобы осуществить атаку, хакер смог получить доступ к серверам Samsung и Oxford, а это значит, что он понял их внутреннюю работу ––это позволило ему остаться незамеченным».