Mimecast Logo
M365 Threat Scan Get a Quote

    Phishing-Kampagnen mit umgeschriebenen Links

    Jul. 31, 2024

    Wichtige Punkte

    • Es wurden Phishing-Kampagnen mit umgeschriebenen Links von mehreren E-Mail-Sicherheitslösungen entdeckt.
    • Erfordert kompromittierte Konten, um umgeschriebene Links zu erzeugen
    • Die Hauptabsicht scheint das Sammeln von Zugangsdaten zu sein.

    In den letzten drei Monaten haben die Bedrohungsforscher von Mimecast Bedrohungsakteure entdeckt und beobachtet, die umgeschriebene Links von verschiedenen Sicherheitslösungen, darunter auch Mimecast, verwenden, um ihre böswilligen Absichten zu verschleiern. Es ist zu erwarten, dass die Liste der missbrauchten E-Mail-Sicherheitslösungen weiter wachsen wird. Diese Technik ist zwar nicht neu, aber die weite Verbreitung dieser Methode bei verschiedenen E-Mail-Sicherheitslösungen, insbesondere im Juni, deutet darauf hin, dass hoch organisierte und gut ausgerüstete Bedrohungsakteure beteiligt sind.

    Bedrohungsakteure missbrauchen weiterhin legitime Tools und Lösungen, die im Allgemeinen als vertrauenswürdig gelten, um die Erkennung zu umgehen und Endbenutzer zu täuschen. Nachstehend finden Sie einige Beispiele für Phishing-E-Mails, die bei diesen Kampagnen verwendet werden. Diese E-Mails enthalten in der Regel individuelle Verweise auf das Zielunternehmen, was diese groß angelegte Operation noch raffinierter macht. Der Hauptzweck dieser E-Mails scheint das Sammeln von Zugangsdaten zu sein, die dann für weitere Angriffe verwendet oder zu Gewinnzwecken verkauft werden können.

    Beispiel Nummer 1

    Phishing-Kampagne-1.svg 

    Beispiel Nummer 2

    Phishing-Kampagne-2.svg

    Ablauf der Kampagne
    • Ein kompromittiertes Benutzerkonto als Ergebnis einer Vielzahl von Angriffsmethoden bietet dem Bedrohungsakteur die Möglichkeit, umgeschriebene Links zu erstellen. 
    • Eine E-Mail mit einem bösartigen Link wird an das/die kompromittierte(n) Konto/Konten gesendet, das die E-Mail-Sicherheitslösung verwendet, um die URL neu zu schreiben. 
    • Der Bedrohungsakteur verwendet das kompromittierte Konto, um zu testen, ob die bösartige URL erkannt wird.
    • Wenn die URL nicht erkannt wird, wird die umgeschriebene URL in die Phishing-Vorlagen eingefügt und an die Zielpersonen gesendet.
    • Es wurden Kampagnen von verschiedenen E-Mail-Quellen, kompromittierten Konten, E-Mail-Sicherheitslösungen und manuell erstellten Domänen beobachtet. 

    Mimecast-Schutz
    • Wir haben in den Kampagnen mit den von Mimecast umgeschriebenen Links mehrere Attribute identifiziert, die zu unseren Erkennungsfunktionen hinzugefügt wurden.
    • Wir überwachen weiterhin alle Kundenkonten, die möglicherweise kompromittiert wurden, und sorgen dafür, dass die erforderlichen Maßnahmen ergriffen werden.
     
    Zielsetzung:

    Global, Alle Sektoren


    Identifizierung missbrauchter Dienste: 


    Jede E-Mail-Sicherheitslösung, die Links umschreibt, kann potenziell für diese Art von Kampagne missbraucht werden, und die Liste der derzeit identifizierten missbrauchten Dienste dürfte noch wachsen:

    • Mimecast: url.uk.m.mimecastprotect.com
    • Barracuda: linkprotect.cudasvc.com
    • Proofpoint: urldefense.proofpoint.com
    • Darktrace: us01.z.antigena.com
    • Intermedia: url.email-Schutz.link
    • TitanHq: linklock.titanhq.com
    • Bitdefender: linkscan.io
    • Hornet-Sicherheit: atpscan.global.hornetsecurity.com
    • Viper-Sicherheit: url2.mailanyone.net
    • Topsec: scanner.nextgen.topsec.com

    Betreffzeilen:


    Es gibt mehrere Varianten

    • Frist für die Einreichung des Arbeitszeitberichts cc08618ea37625e4f9f7b330bded9dc3
    • Der Schweregrad-Alarm wurde ausgelöst
    • Überfällige Kündigung
    • Reaction Daily Digest Juli 22, 2024 at 04:08:27 PM
    • Mit Ihnen geteiltes Dokument

    Empfehlungen
    • Stellen Sie sicher, dass die Scan-Richtliniespam auf die empfohlene Einstellung "Moderat" eingestellt ist.
    • Aktivieren Sie die Geräteanmeldung innerhalb von TTP URL Protect, wodurch die Verbreitung von URLs, die für die Verwendung in der Kampagne erstellt werden, stark reduziert wird.
    • Durchsuchen Sie Ihre TTP URL Protect -Protokolle, um festzustellen, ob einer der missbrauchten Dienste von Ihren Benutzern genutzt wurde.
    • Überprüfen Sie die Authentifizierungsprotokolle (Mimecast, Microsoft Entra, ADFS usw.), die den Benutzern zugeordnet sind, die mit den missbrauchten URLs interagiert haben, um festzustellen, ob eine mögliche Gefährdung vorliegt.
    • Stellen Sie sicher, dass alle kompromittierten Konten untersucht und sofort behoben werden und dass eine Überwachung eingerichtet wird, um ungewöhnliche Aktivitäten zu erkennen.
    • Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.

    Artikel zu Bedrohungsdaten erkunden

    39BLOG_1.jpg
    Bedrohungsanalyse Blog
    Neue Mimecast-Bedrohungsdaten: Wie ChatGPT E-Mail umkrempelt
    Okt. 18, 2024
    24BLOG_1.jpg
    Bedrohungsanalyse Blog
    Threat Intelligence war noch nie so wichtig wie heute
    Okt. 18, 2024
    29BLOG_1.jpg
    Bedrohungsanalyse Blog
    Angreifer verlagern ihre Verbreitungsmethoden weiter
    Juni 03, 2024
    Zurück zum Anfang