Mimecast Logo
Richiedi un preventivo

    Strumenti di intelligenza artificiale come infrastruttura per le campagne

    2 agosto 2024

    Punti principali

    Cosa imparerai in questa notifica

    • 380.000 email di phishing osservate da metà a fine marzo 2023 che si spacciavano per i team interni delle risorse umane.
    • Le email incoraggiavano azioni relative alla formazione e alla conformità e contenevano link a una pagina di phishing per le credenziali.
    • Ogni email conteneva un file HTML, ma era un PDF a contenere il collegamento dannoso.
    • La campagna ha abusato di diversi servizi web, tra cui Replit per impostare un reindirizzamento e IPFS per ospitare la pagina di raccolta delle credenziali.

    Il team di ricerca sulle minacce di Mimecast ha osservato attori delle minacce distribuire file PDF dannosi camuffati da allegati email HTML. Sono state osservate più campagne che utilizzavano lo stesso allegato PDF mascherato da file HTML denominato “Contract_document.html” il 18 e 27 marzo 2024.

    Gli allegati hanno un'estensione .html ma hanno un tipo MIME PDF che, se aperto in un browser web moderno, verrà comunque visualizzato come PDF. Gli allegati osservati sono stati inviati tramite diverse campagne di malspam con temi simili, mirate a numerose organizzazioni, e contenevano URL dannosi. Il volume totale osservato ha raggiunto un totale di poco meno di 380.000 email tra il 18, il 20 e il 27 marzo.

    In generale ogni campagna mirava ad impersonare i team interni di risorse umane che distribuivano aggiornamenti sulle valutazioni delle prestazioni dei dipendenti, sulle politiche relative alle ferie annuali o sulla formazione obbligatoria. In alcuni casi, includevano espressioni di urgenza o viaggi all'estero con spese pagate. È stato osservato un tema in comune: ciascuna email conteneva elementi specifici relativi ai destinatari mirati, tra cui il nome dell'organizzazione e l'indirizzo email dei destinatari.

    Il primo esempio utilizza l'esca delle valutazioni del personale e incoraggia i destinatari a fare clic per visualizzare chi ha ricevuto un premio.

    TI_Online-AI-Tools-pic1.png

     
    Nel secondo esempio, il tema era una politica sulle ferie annuali. Il destinatario viene minacciato con sanzioni finanziarie in caso la richiesta non fosse rispettata.

    TI_Online-AI-Tools-pic2.png

     
    Nel terzo esempio, il tema è la formazione obbligatoria del personale, con l'ulteriore esca di un viaggio all'estero con spese pagate.

    TI_Online-AI-Tools-pic3.png

     
    Tutte queste campagne hanno seguito temi comuni nella maggior parte delle campagne di phishing mirate a questo settore. Utilizzando una combinazione di paura e curiosità per incoraggiare i destinatari a cliccare sui link. Ogni campagna mostrava un link falso che fingeva di essere diretto a una destinazione interna; tuttavia, passando con il mouse sul link nell'esempio 3, possiamo vedere che l'URL effettivo reindirizza a un host 'replit.app'.

    Replit è un altro strumento sfruttato dagli attori delle minacce per allestire risorse e reindirizzare le vittime. Il grafico sottostante mostra il numero di email dannose rilevate contenenti un URL Replit come gli esempi mostrati sopra.

    TI_Online-AI-Tools-pic4.png

     
    Schema di attacco

    Riepilogo delle metodologie utilizzate dall'attore delle minacce per questo attacco:

    Fornitori di servizi email
    • Mailgun è stato utilizzato per distribuire in massa le email di questa campagna. L'account sembra essere di un'azienda legittima, il che significa che l'attore della minaccia probabilmente lo ha compromesso per poterlo usare.
    Link di phishing
    • Link di phishing - Replit è stato utilizzato per reindirizzare chi clicca a un file dannoso ospitato su IPFS.
    • Allegato di phishing - l'attore della minaccia ha allegato un file alle email che contenevano anche un link dannoso a un sito Replit.
    Allegato dell'email
    • L'allegato incluso nelle email era di tipo PDF, ma aveva un'estensione .html. Per impostazione predefinita, questo tipo di file si apre in un browser web. La maggior parte dei browser moderni, come Chrome, lo visualizza comunque in formato PDF.
    Servizi web usati in modo improprio
    • Probabilmente è stata utilizzata una prova gratuita di Replit per creare e ospitare la pagina di reindirizzamento.
    • IPFS è stato utilizzato per ospitare un file di raccolta di credenziali a cui le vittime sono state reindirizzate con il sito Replit.
    Ingegneria sociale
    • Le email osservate utilizzavano un tema coerente per portare i destinatari a cliccare su link dannosi.
    • I team interni delle risorse umane sono stati impersonati utilizzando un approccio che offriva sia ricompense che minacce.
    Furto di dati
    • IPFS utilizzato per ospitare il file dannoso che mostra la pagina web usata per la raccolta delle credenziali.
       ​

    Obiettivi

    Globale, tutti i settori

     

    Indicatori di compromissione

    Sorgenti dei mittenti
    • Pc232-12.mailgun.net [143.55.232.12]
    Allegato/i
    • Contract_document.html
    • La sezione autore del PDF conteneva una stringa comune “Son of God”
    • Hexdump del file
    URL
    • Corpo dell'email
      • hxxps://owa-5ghdhjd897d67hgdbndbnm-bn8272vbnsjbskjs-892672vhbxbhtys5665.replit[.]app/#recipient_email@domain.com
    • Allegato
      • hxxps://afcc3a49-0553-4865-a79d-1ee5dfa1465f-00-1jjmbzmgsvm64.picard.replit[.]dev/#recipient_email@domain.com
    • Pagina di phishing
      • hxxps://cloudflare-ipfs[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy/owa-index-server.html#recipient_email@domain.com
    • Interplanetary File System (IPFS)
      • L'URL effettivo dopo il reindirizzamento di Replit era quello di un file archiviato in IPFS, accessibile tramite il gateway IPFS di Cloudflare:hxxps://cloudflare-ipfs[.]com/ipfsbafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • IPFS di Cloudflare è solo uno dei gateway disponibili per accedere al file e la stringa di caratteri alla fine del percorso IPFS rappresenta il Content ID (CID) del file. IPFS consente l'accesso tramite qualsiasi gateway disponibile se si dispone del CID.
      • hxxps://storry[.]tv/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://nftstorage[.]link/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://hardbin[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • Ciascuno di questi URL continuerà ad accedere allo stesso file memorizzato in IPFS. Ciò significa che un attore di minacce può usare ciclicamente i gateway per creare un nuovo URL se un altro viene bloccato.
    • La sezione autore del PDF conteneva una stringa comune “Son of God”
    • Hexdump del file
       ​

    TTP

    T1608.005 - impostazione di funzionalità: collegamento al bersaglio
    T1586.002 - compromissione degli account: account email
    T1566.002 - phishing: link di spear phishing
    T1566.001 - phishing: allegato di spear phishing T1036.008 - mascheramento: tipo di file mascherato

    Esplora gli articoli di intelligence sulle minacce

    31BLOG_1.jpg
    Threat Intelligence Blog
    GhostGPT and email threat protection: A rising AI-driven threat  
    mar 31, 2025
    57BLOG_1.jpg
    Threat Intelligence Blog
    How GhostGPT introduces governance and compliance risks 
    mar 24, 2025
    34BLOG_1.jpg
    Threat Intelligence Blog
    5 ways to use threat intelligence to defend smarter, not harder
    mar 20, 2025
    Back to Top