Mimecast Logo
M365 Threat Scan Get a Quote

    Missbrauch der Arbeitsbereiche von Atlassian, Archbee und Nuclino

    Aug. 2, 2024

    Wichtige Punkte

    Was Sie in diesem Artikel erfahren werden

    • Ein Phishing-Link, der in eine E-Mail eingebettet ist, die von mit japanischen Internetanbietern verbundenen Adressen verschickt wird.
    • Diebstahl von Zugangsdaten durch Phishing Kampagnen, die unified Workspace-Plattformen wie Atlassian, Archbee und Nuclino nutzen.

    Mimecast Threat Research hat eine neue Phishing-Taktik identifiziert, bei der Bedrohungsakteure Probleme mit der Einhaltung von Vorschriften ausnutzen. Diese Angreifer gaukeln den Benutzern vor, dass sie auf einen Link klicken müssen, um eine Compliance-Anforderung zu erfüllen, und leiten sie auf ein gefälschtes Unternehmensportal weiter, um Anmeldedaten oder andere sensible Informationen zu sammeln.

    Die E-Mails sind stark personalisiert, z. B. mit Angaben zu einem "Gerät" und mehreren Verweisen auf die Unternehmensdomäne, an die diese Kampagnen geschickt werden, um die Gültigkeit zu erhöhen. Der Name der Absenderadresse bezieht sich immer auf den Domänennamen des Zielunternehmens, um den Endbenutzern vorzugaukeln, dass die Nachricht von ihrer internen Abteilung stammt.

    TI_notif-arbeitsbereiche_abuse-pic1.webp

    Es gibt verschiedene URLs, die in dieser Kampagne verwendet werden. Eine interessante Verwendung ist die Verwendung von Poststempel-URLs, um den Benutzer zu diesen unified Arbeitsraumlösungen weiterzuleiten.

    • hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp%252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-4961-92a6-db7f088575be%2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',

    Es gibt mehrere Verschleierungstechniken, die dazu dienen, das wahre Ziel einer URL zu verbergen:

    • Mehrfache Umleitung
      • hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s...
    • Kodierte Zeichen
      • %2F, %252F, %25252F
    • Verfolgungsparameter
      • u4jK, AQ, gefolgt von Zeichenfolgen wie 82ec5a25-c50f-4c68-a1ad-64d3d3de6c19

    Wenn wir dem Link folgen, sehen wir die folgende Seite auf archbee.com mit einem weiteren Link, der angeklickt werden muss, um ein Dokument aufzurufen. Die Seite weist darauf hin, dass der Benutzer sich erneut anmelden muss, um Zugang zu erhalten.

    TI_notif-arbeitsbereiche_abuse-pic2.webp

    Wir sehen ähnliche Seiten, die auf Confluence gehostet werden, einem Dienst, der von vielen Organisationen genutzt wird und für die Zusammenarbeit von Mitarbeitern in einem Unternehmen üblich ist.

    TI_notif-arbeitsbereiche_abuse-pic3.webp

    Alle Links auf diesen Seiten sind wiederum mit verschiedenen Verschleierungstechniken versehen, um die Erkennung zu umgehen, und sobald sie angeklickt werden, erhalten die Benutzer eine Microsoft-Anmeldeseite mit zwei Beispielen (siehe unten).

    TI_notif-arbeitsbereiche_abuse-pic4.webp

    Mimecast stellt weiterhin fest, dass Bedrohungsakteure Dienste wie OneDrive und Google Docs nutzen, um Dateien oder Links in ihren Kampagnen zu hosten, aber die Nutzung von Arbeitsbereichen wie Atlassian wurde bisher noch nicht in großem Umfang missbraucht. Allerdings hat die Nutzung von Atlassian zur Umgehung der Erkennung merklich zugenommen, was auch weiterhin beobachtet werden wird.

    Ziele

    Australien, bekannte Anwaltskanzleien

    Ziele

    Absenderkopf-E-Mail-Adresse

    • @re[.]commufa[.]jp
    • @biglobe[.]ne[.]jp

    URLs

    • hxxps://click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fbatesbooks.com%25252F%25253Fgnwihigb%252Fu4jK%252F_TK1AQ%252FAQ%252Feb4ca8cd-9fd8-441d-bd47-ba8515ce4ecb%252F1%252F29ti9u-YHt%2Fu4jK%2F-jK1AQ%2FAQ%2F5144fccb-e0c2-47a4-bc78-4996415f3747%2F1%2Fp92u3QTaSb/u4jK/ATO1AQ/AQ/2fd5814e-142f-44ef-9cf1-186f556a5be6/1/s3sdWJSj3H
    • hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp%252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-4961-92a6-db7f088575be%2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',

    Artikel zu Bedrohungsdaten erkunden

    12BLOG_1.jpg
    Bedrohungsanalyse Blog
    Neue Mimecast-Bedrohungsdaten: Wie ChatGPT E-Mail umkrempelt
    Okt. 18, 2024
    08BLOG_1.jpg
    Bedrohungsanalyse Blog
    Threat Intelligence war noch nie so wichtig wie heute
    Okt. 18, 2024
    32BLOG_1.jpg
    Bedrohungsanalyse Blog
    Angreifer verlagern ihre Verbreitungsmethoden weiter
    Juni 03, 2024
    Zurück zum Anfang