Mimecast Logo
Richiedi un preventivo

    Cartelle di Microsoft SharePoint/Google Drive come tecnica di elusione

    2 agosto 2024

    Punti principali

    Cosa imparerai in questa notifica

    I ricercatori di minacce di Mimecast hanno osservato che gli attori delle minacce stanno utilizzando SharePoint e Google Drive per condividere file che contengono link a siti dannosi.

    • Utilizzano prevalentemente account compromessi di Microsoft 365.
    • Le pagine di phishing osservate hanno indicatori relativi ai phishkit di 'NakedPages'.
    • Aumento lento dall'inizio di marzo, un grande picco ad aprile che è proseguito fino a maggio.

    I ricercatori di minacce di Mimecast hanno osservato che gli attori delle minacce stanno utilizzando SharePoint e Google Drive per condividere file che contengono link a siti dannosi. L'esca è prevalentemente un invito a presentare offerte con l'obiettivo di ottenere credenziali tramite un phishkit ospitato.

    Di seguito è possibile vedere un esempio di questa campagna, che sfrutta un account O365 compromesso. Nella maggior parte dei casi vengono utilizzati domini di settori specifici legati al target, aumentando la probabilità che l'utente finale interagisca con l'email.

    TI_Cloud-File-Shares-as-Evasion-Technique-pic1.png

     
    L'email contiene un link 'Clicca qui per visualizzare il progetto', utilizzato per ottenere ulteriori informazioni sull'offerta. Facendo clic sul link, gli utenti vengono reindirizzati a una pagina della cartella di SharePoint contenente un file, il che è insolito poiché normalmente vengono reindirizzati ai file, rendendo questa tecnica unica.

    Il ragionamento alla base dell'ulteriore livello di offuscamento è l'evasione delle soluzioni di sicurezza. Inoltre, l'esca può apparire più legittima con più file nella cartella, o questo può aiutare l'attore della minaccia a gestire le campagne in cui può utilizzare le cartelle senza condividere un file diretto.

    TI_Cloud-File-Shares-as-Evasion-Technique-pic2.png

     
    In questo esempio, è stata creata una cartella sulla pagina SharePoint collegata a un'azienda reale, con il presunto proprietario del file associato alla stessa organizzazione. Una volta all'interno della cartella, è necessario che l'utente interagisca con la pagina per accedere al file.

    Facendo clic sul file, appare un PDF sfocato che invita l'utente ad accedere a un link per effettuare il login al proprio account Microsoft per ottenere l'accesso al file.

    TI_Cloud-File-Shares-as-Evasion-Technique-pic3.png

     
    Le pagine di phishing presentano una struttura URL simile hxxps://[NOME].[store/online/site]/?[8 caratteri], osservata nelle pagine di phishing acquistate su 'NakedPages'. In alcune campagne, vengono aggiunte pagine captcha per aumentare il numero di interazioni dell'utente necessarie per raggiungere la pagina di phishing finale, a volte fino a 7. Questa è diventata una tecnica molto comune utilizzata dagli attori delle minacce per eludere il rilevamento.

    TI_Cloud-File-Shares-as-Evasion-Technique-pic4.png

     
    Questo tipo di tecnica non è limitato solo ai servizi Microsoft; ecco un esempio che utilizza Google Drive con un layout molto simile e una pagina finale di raccolta delle credenziali:

    TI_Cloud-File-Shares-as-Evasion-Technique-pic5.png

      
    Esaminando l'esempio di Google Drive, è stata visualizzata una pagina di errore che fornisce ulteriori dettagli sulla campagna in cui si osserva un errore di licenza, presumibilmente da 'NakedPages'.

    TI_Cloud-File-Shares-as-Evasion-Technique-pic6.png

      
    Le informazioni aggiuntive sulla pagina fanno riferimento a nkp.relay-proxy-i2p.com. I2P è un livello di rete focalizzato sulla privacy per comunicazioni anonime. Indica che la pagina di phishing stava cercando di connettersi a un relay o proxy I2P, probabilmente per esfiltrare dati o comunicare in modo anonimo.

    Ulteriori indagini hanno rilevato che nkp.relay-proxy-i2p.com è stato attivo solo di recente e si è risolto in FlokiNET. FlokiNET è un provider di web hosting noto per offrire servizi con un forte accento sulla privacy e sulla libertà di espressione, spesso utilizzati da attivisti e giornalisti, ma anche i malintenzionati ne fanno buon uso. Mimecast ha osservato un recente cambiamento nell'hosting che indica che gli attori delle minacce stanno cambiando ciclicamente la loro infrastruttura per evitare il rilevamento e gli sforzi di rimozione.

    I server dei nomi per nkp.relay-proxy-i2p.com sono di Njalla, il che fornisce un altro spunto interessante. Njalla è un servizio di registrazione di domini che enfatizza la privacy e l'anonimato, proteggendo l'identità dei proprietari dei domini. Lo fa agendo come intermediario tra il registrar e il proprietario del dominio, registrando il dominio per conto d'altri, mantenendo nascoste le informazioni personali.

    Obiettivi

    Globale, tutti i settori

    Indicatori di compromissione

    Siti di raccolta delle credenziali

    • hxxps://esthereiahdhd.store/?ubzveppo
    • hxxps://noticebidproject.online/?xptjjunz
    • hxxps://ncosulteng.store/?lzbcqrww
    • hxxps://elbenchaesn.store/?oyhbewrx

    Oggetto (esistono diverse varianti)

    • INVITO A PRESENTARE UN'OFFERTA: Northwest Line Builders LLC . . .-- Progetto n. 21-1161L 1912
    • INVITO A PRESENTARE UN'OFFERTA: CONSTRUCTION TESTING SERVICES, LLC . . .-- Progetto n. 21-1161L 1912
    • Invito a presentare un'offerta: progetto n. 21-1161L: soluzioni per impianto idrico e gas per infrastrutture
    • INVITO A PRESENTARE OFFERTA: Balcones Resources Inc. . .-- Progetto n. 21-1161L 1912

    Esplora gli articoli di intelligence sulle minacce

    17BLOG_1.jpg
    Threat Intelligence Blog
    GhostGPT and email threat protection: A rising AI-driven threat  
    mar 31, 2025
    28BLOG_1.jpg
    Threat Intelligence Blog
    How GhostGPT introduces governance and compliance risks 
    mar 24, 2025
    25BLOG_1.jpg
    Threat Intelligence Blog
    5 ways to use threat intelligence to defend smarter, not harder
    mar 20, 2025
    Back to Top