TTL OSINT

Анализ фишинговой кампании: причины инцидента

В мае 2024 года фишинговая кампания была нацелена на организацию, в ходе которой злоумышленник успешно взломал учетную запись сотрудника, используя вредоносную ссылку в, казалось бы, законном электронном письме. Цепочка атак включала в себя четыре основных этапа: 1) входящее фишинговое электронное письмо от клиента, 2) фишинговый веб-сайт, 3) Несоответствие URL-адресов и 4) завершение двухфакторной аутентификации. Фишинговый веб-сайт был разработан таким образом, чтобы походить на законную страницу входа в систему Microsoft, но URL-адрес не соответствовал домену отправителя. Сотрудник ввел свои логин и пароль, но двухфакторная аутентификация не защитила от фишинговой атаки в стиле прокси-сервера. Затем злоумышленник отправлял исходящие фишинговые электронные письма из аккаунта взломанного сотрудника как сотрудникам, так и клиентам. Технический анализ фишингового сайта показал, что на нем использовался параметризованный URL-адрес с составным идентификатором и параметром, который определял стиль оформления страницы. Сервер злоумышленника вернул скрипт отпечатка пальца для сбора информации об окружении пользователя и сильно запутанную страницу JavaScript в ответ на запрос POST клиента.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://any.run/cybersecurity-blog/analysis-of-the-phishing-campaign/

Примеры признаков компромисса:

• www1.haylawoffice.com
• высокое качество 822754177219-техническая ссылка
• прямой кишки.нажмите
• возможно.сеть
• disquis.it

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал