Check Point Research совместно с Otorio проанализировали фишинговые кампании, нацеленные на тысячи организаций. Среди них была фишинговая рассылка с HTML-вложением, которая успешно обошла фильтрацию Microsoft Office 365 Advanced Threat Protection (ATP) и украла учетные данные более тысячи корпоративных сотрудников.
Выяснилось, что из-за простой ошибки в цепочке атак злоумышленники раскрыли украденные ими учетные данные в сети на десятках серверов drop-zone. С помощью простого поиска в Google любой мог бы найти пароли к взломанным адресам электронной почты.
Эта атака началась со следующего шаблона фишинговых писем.
![](https://habrastorage.org/getpro/habr/upload_files/071/aaa/6b2/071aaa6b212f9e3d5af39272a25ce463.png)
Злоумышленник отправлял электронное письмо, имитирующее уведомление о сканировании Xerox с названием компании в строке темы. Как только жертва дважды щелкала на прикрепленный файл HTML, браузер отображал размытое изображение.
В ходе кампании использовалось несколько других вариантов фишинговых страниц, но размытое фоновое изображение оставалось прежним.
После запуска HTML-файла код JavaScript выполнялся в фоновом режиме документа. Он отвечал за простую проверку пароля, отправку данных на сервер злоумышленников и перенаправление пользователя на легитимную страницу входа в Office 365.
![](https://habrastorage.org/getpro/habr/upload_files/56d/5b3/b85/56d5b3b855702266cb5105e8e3503d13.png)
![](https://habrastorage.org/getpro/habr/upload_files/3c4/10c/6ce/3c410c6ce42bec8ef2aea8c2155e7c85.png)
На протяжении всей кампании код постоянно совершенствовался. Используя простые методы, хакеры также смогли избежать обнаружения большинством поставщиков антивирусов.
![](https://habrastorage.org/getpro/habr/upload_files/6d6/c71/121/6d6c7112103e2a4ea34e5316654b50f4.png)
В этой кампании использовалась как уникальная инфраструктура, так и скомпрометированные веб-сайты WordPress в качестве серверов промежуточной зоны. При использовании специализированной инфраструктуры сервер работал примерно два месяца с десятками доменов XYZ.
![](https://habrastorage.org/getpro/habr/upload_files/db3/b3d/a49/db3b3da49a8aa13998d98b58edd91ce0.png)
Эти зарегистрированные домены использовались в фишинговых атаках. Были обнаружены десятки скомпрометированных серверов WordPress, на которых размещалась вредоносная страница PHP (с именами «go.php», «post.php», «gate.php», «rent.php» или « rest.php»).
![](https://habrastorage.org/getpro/habr/upload_files/57f/eb6/8a9/57feb68a9a24c09ec25734dfb3c86c2b.png)
Анализ заголовков электронных писем, использованных в этой кампании, позволил сделать несколько выводов относительно тактических приемов и процедур (TTP), используемых злоумышленниками: электронные письма отправлялись с сервера Linux, размещенного в Microsoft Azure, они часто отправляются с помощью PHP Mailer 6.1.5, письма доставляются с использованием почтовых серверов 1&1.
Злоумышленники использовали скомпрометированные учетные записи электронной почты для распространения спама. В рамках одной конкретной кампании была обнаружена фишинговая страница, выдававшая себя за сайт IONOS. Весьма вероятно, что взломанные данные учетной записи IONOS использовались злоумышленниками для рассылки спама.
![](https://habrastorage.org/getpro/habr/upload_files/aaf/6a0/047/aaf6a00473e30c5ec13641ff35e5bbd5.png)
После отправки информации пользователей на серверы drop-zone данные сохранялись в общедоступном видимом файле, индексируемым Google. Общедоступность этих данных позволила исследователям безопасности разбить жертв по отраслям деятельности. Особый интерес наблюдался к энергетическим и строительным компаниям.
![](https://habrastorage.org/getpro/habr/upload_files/b2f/1ee/634/b2f1ee6345b451cfbed018bde22509f3.png)
Google проинформировали о том, что компания проиндексировала страницы хакеров.
Исследователи дали несколько практических советов по защите данных:
остерегайтесь писем с похожих доменов, с орфографическими ошибками в теле, а также от незнакомых отправителей,
будьте осторожны с файлами, полученными по электронной почте от неизвестных отправителей, особенно если они запрашивают определенное действие,
убедитесь, что вы заказываете товары с реального сайта. Не стоит кликать на рекламные ссылки в электронных письмах, лучше ввести в Google название продавца и перейти на его сайт,
остерегайтесь «специальных» предложений, которые не кажутся надежными или заслуживающими доверия,
убедитесь, что вы не используете пароли повторно в разных приложениях и учетных записях.
Организации же должны предотвращать атаки с помощью сквозной кибер-архитектуры, блокировать обманчивые фишинговые сайты и предоставлять предупреждения о повторном использовании паролей в режиме реального времени.
numitus2
Это практически " Грабь награбленное"