Utilisation abusive des espaces de travail Atlassian, Archbee et Nuclino
2 août 2024
Ce que vous apprendrez dans cet article
- Lien de phishing intégré dans un e-mail envoyé à partir d’adresses associées à des FAI japonais.
- Vol d'informations d'identification via des campagnes de phishing utilisant des plateformes d'espace de travail unifiées comme Atlassian, Archbee et Nuclino.
Mimecast Threat Research a identifié une nouvelle tactique de phishing dans laquelle les acteurs malveillants exploitent des problèmes liés à la conformité. Ces attaquants trompent les utilisateurs en leur faisant croire qu'ils doivent cliquer sur un lien pour répondre à une exigence de conformité, et les dirigent vers un faux portail d'entreprise pour récolter des informations d'identification ou d'autres informations sensibles.
Les e-mails sont très personnalisés, tels que les informations relatives à un « appareil » et plusieurs références au domaine de l'entreprise que l'entreprise envoie à ces campagnes pour en améliorer la validité. Le nom de l'adresse de l'expéditeur fait toujours référence au nom de domaine de l'organisation cible dans le but de tromper les utilisateurs finaux en leur faisant croire qu'il s'agit de leur service interne.
Plusieurs URL sont utilisées dans cette campagne. L'une d'entre elles est intéressante : utiliser les URL faisant office de cachet de la poste pour rediriger l'utilisateur vers ces solutions d'espace de travail unified.
- hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp% 252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-49 61-92a6-db7f088575be %2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',
Il existe plusieurs techniques d’obfuscation utilisées pour masquer la véritable destination d’une URL :
- Redirections multiples
- hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s...
- Caractères encodés
- %2F, %252F, %25252F
- Paramètres de suivi
- u4jK, AQ, suivi de chaînes comme 82ec5a25-c50f-4c68-a1ad-64d3d3de6c19
En suivant le lien, nous voyons la page suivante sur archbee.com contenant un autre lien sur lequel cliquer pour accéder à un document. La page indique que l'utilisateur devra s'identifier à nouveau pour obtenir l'accès.
Des pages similaires sont hébergées sur Confluence, un service utilisé par de nombreuses organisations et qui permet aux employés de collaborer régulièrement.
Tous les liens figurant sur ces pages utilisent à nouveau diverses techniques d'obscurcissement pour échapper à la détection et, une fois qu'ils ont cliqué, les utilisateurs se voient présenter une page de connexion Microsoft, dont les deux exemples sont illustrés ci-dessous.
Mimecast continue de voir des acteurs menaçants utiliser des services tels que OneDrive et Google Docs pour héberger des fichiers ou des liens dans le cadre de leurs campagnes, mais l'utilisation d'espaces de travail tels qu'Atlassian n'a pas encore fait l'objet d'une utilisation abusive. Cependant, il y a eu une augmentation notable de l’utilisation d’Atlassian pour échapper à la détection, qui continuera d’être surveillée.
Objectifs
Australie, de grands cabinets d'avocats
Objectifs
Adresse e-mail de l'en-tête de l'expéditeur
- @re[.]commufa[.]jp
- @biglobe[.]ne[.]jp
URL
- hxxps://click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fbatesbooks.com%25252F%25253Fgnwihigb%252Fu4jK%252F_TK1AQ%252FAQ%252Feb4ca8cd-9fd8-441d-bd47-ba8 515ce4ecb%252F1%252F29ti9u-YHt%2Fu4jK%2F-jK1AQ%2FAQ%2F5144fccb-e0c2-47a4-bc78-4996415f3747%2F1%2Fp92u3QTaSb/u4jK/ATO1AQ/AQ/2fd581 4e-142f-44ef-9cf1-186f556a5be6/1/s3sdWJSj3H
- hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp% 252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-49 61-92a6-db7f088575be %2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',