Mimecast Logo
M365 Threat Scan Get a Quote

    Utilisation abusive des espaces de travail Atlassian, Archbee et Nuclino

    2 août 2024

    Points clés

    Ce que vous apprendrez dans cet article

    • Lien de phishing intégré dans un e-mail envoyé à partir d’adresses associées à des FAI japonais.
    • Vol d'informations d'identification via des campagnes de phishing utilisant des plateformes d'espace de travail unifiées comme Atlassian, Archbee et Nuclino.

    Mimecast Threat Research a identifié une nouvelle tactique de phishing dans laquelle les acteurs malveillants exploitent des problèmes liés à la conformité. Ces attaquants trompent les utilisateurs en leur faisant croire qu'ils doivent cliquer sur un lien pour répondre à une exigence de conformité, et les dirigent vers un faux portail d'entreprise pour récolter des informations d'identification ou d'autres informations sensibles.

    Les e-mails sont très personnalisés, tels que les informations relatives à un « appareil » et plusieurs références au domaine de l'entreprise que l'entreprise envoie à ces campagnes pour en améliorer la validité. Le nom de l'adresse de l'expéditeur fait toujours référence au nom de domaine de l'organisation cible dans le but de tromper les utilisateurs finaux en leur faisant croire qu'il s'agit de leur service interne.

    TI_notif-workspaces_abuse-pic1.webp

    Plusieurs URL sont utilisées dans cette campagne. L'une d'entre elles est intéressante : utiliser les URL faisant office de cachet de la poste pour rediriger l'utilisateur vers ces solutions d'espace de travail unified.

    • hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp% 252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-49 61-92a6-db7f088575be %2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',

    Il existe plusieurs techniques d’obfuscation utilisées pour masquer la véritable destination d’une URL :

    • Redirections multiples
      • hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s...
    • Caractères encodés
      • %2F, %252F, %25252F
    • Paramètres de suivi
      • u4jK, AQ, suivi de chaînes comme 82ec5a25-c50f-4c68-a1ad-64d3d3de6c19

    En suivant le lien, nous voyons la page suivante sur archbee.com contenant un autre lien sur lequel cliquer pour accéder à un document. La page indique que l'utilisateur devra s'identifier à nouveau pour obtenir l'accès.

    TI_notif-workspaces_abuse-pic2.webp

    Des pages similaires sont hébergées sur Confluence, un service utilisé par de nombreuses organisations et qui permet aux employés de collaborer régulièrement.

    TI_notif-workspaces_abuse-pic3.webp

    Tous les liens figurant sur ces pages utilisent à nouveau diverses techniques d'obscurcissement pour échapper à la détection et, une fois qu'ils ont cliqué, les utilisateurs se voient présenter une page de connexion Microsoft, dont les deux exemples sont illustrés ci-dessous.

    TI_notif-workspaces_abuse-pic4.webp

    Mimecast continue de voir des acteurs menaçants utiliser des services tels que OneDrive et Google Docs pour héberger des fichiers ou des liens dans le cadre de leurs campagnes, mais l'utilisation d'espaces de travail tels qu'Atlassian n'a pas encore fait l'objet d'une utilisation abusive. Cependant, il y a eu une augmentation notable de l’utilisation d’Atlassian pour échapper à la détection, qui continuera d’être surveillée.

    Objectifs

    Australie, de grands cabinets d'avocats

    Objectifs

    Adresse e-mail de l'en-tête de l'expéditeur

    • @re[.]commufa[.]jp
    • @biglobe[.]ne[.]jp

    URL

    • hxxps://click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fbatesbooks.com%25252F%25253Fgnwihigb%252Fu4jK%252F_TK1AQ%252FAQ%252Feb4ca8cd-9fd8-441d-bd47-ba8 515ce4ecb%252F1%252F29ti9u-YHt%2Fu4jK%2F-jK1AQ%2FAQ%2F5144fccb-e0c2-47a4-bc78-4996415f3747%2F1%2Fp92u3QTaSb/u4jK/ATO1AQ/AQ/2fd581 4e-142f-44ef-9cf1-186f556a5be6/1/s3sdWJSj3H
    • hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp% 252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-49 61-92a6-db7f088575be %2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',

    Découvrez les articles de renseignement sur les menaces

    60BLOG_1.jpg
    Threat Intelligence Blog
    New Mimecast Threat Intelligence: How ChatGPT Upended Email 
    sept. 30, 2024
    21BLOG_1.jpg
    Threat Intelligence Blog
    Threat Intelligence Has Never Been More Crucial
    août 27, 2024
    33BLOG_1.jpg
    Threat Intelligence Blog
    Attackers Continue to Shift Delivery Methods
    févr. 21, 2024
    Haut de la page