威胁行为者不再墨守成规。如今,他们使用短信、电子邮件、虚假网页和受损的云帐户等多种渠道。他们利用这些不同的渠道来建立持久性和妥协的身份,以便他们可以提升特权并横向移动。
Proofpoint Threat Research 最近观察到威胁行为者使用多渠道攻击来针对零售行业的活动。攻击链和时间线显示了威胁行为者 (TA) 如何从一个目标组织转移到下一个目标组织。每次未经授权的访问被撤销或用尽时,攻击者就会转向下一个目标。
针对全球零售商的多渠道攻击链
在我们的研究中,这些活动以短信攻击开始。短信钓鱼攻击也称为短信网络钓鱼,它使用短信来诱骗收件人执行攻击者希望他们执行的操作。这可能是提供他们的个人或财务信息、点击恶意链接或下载有害的软件应用程序。钓鱼消息使用简短的支持票主题来引诱受害者访问威胁行为者的网络钓鱼网站。
带有支持票证主题的 SMS 网络钓鱼消息示例
在我们观察到的活动中,TA 使用了自定义的 Microsoft 网络钓鱼页面,其中包含目标组织的品牌。此页面引导用户通过 MFA 授权流程来收集其凭据。
带有目标组织品牌的自定义 Microsoft 网络钓鱼页面示例
一旦 TA 捕获了凭据,他们就会泄露用户帐户。帐户接管(ATO)后,攻击者使用多种方法来维持持久访问并隐藏其未经授权的活动。这些包括:
MFA 操纵。攻击者使用被劫持的帐户来注册自己的 MFA 方法。
通过本机 Microsoft 应用程序(例如 Intune Enrollment)注册新设备。这有助于攻击者隐藏其未经授权的活动并获得对某些资源的访问权限。
恶意使用企业VPN。 TA使用受害者的VPN和ZTNA产品以及自己的多个VPN客户端来访问安全产品和生产环境等资源。
攻击者获得了对该组织的 SSO 门户的访问权限,该门户进而提供了对许多其他内部服务和第三方应用程序 (3PA) 的访问权限。攻击者枚举了连接到 IDP 的所有应用程序,并试图找到他们可以滥用的 API 连接。然后他们进入特定的业务应用程序来创建假冒礼品卡。
归因
此次攻击中的威胁发起者与 Microsoft 追踪的 Storm-0539 发起者存在潜在重叠区域。该威胁行为者“在假日购物季期间使用高度复杂的电子邮件和短信网络钓鱼,针对零售组织进行礼品卡欺诈和盗窃”。尽管这些攻击并非源自电子邮件,但它们在 TTP(策略、技术和程序)中的重叠使我们相信该活动集可能与我们追踪的威胁行为者 TA4901 一致。至少自 2018 年以来,该技术援助一直针对电信和零售行业的公司。
端到端洞察的力
Proofpoint 从其他安全提供商中脱颖而出的原因在于,我们对这些攻击(包括短信威胁)拥有端到端的洞察。这要归功于我们的 Cloudmark 小组,该小组与移动运营商合作保护移动消息传递。我们将此功能与威胁行为者跟踪和云威胁洞察相结合,以快速识别攻击模式的变化,这使我们比竞争对手具有显着优势。
我们为超过 9,000 家企业客户和大约 500,000 家中小企业提供保护。这意味着我们可以看到多个行业的威胁。这种可见性使我们能够轻松识别和保护经常成为目标的部门。
保护您的组织的提示
威胁行为者不断发展他们的策略,因此我们的防御措施也必须随之发展。以下是保护您的组织的几种方法:
培训用户进行多渠道攻击。用户仅仅了解基于电子邮件的威胁已经不够了。他们还应该了解基于短信的威胁等攻击。
部署系统来标记威胁。当帐户被盗时,您的团队需要尽快知道。确保有适当的系统可以在帐户受到威胁时通知他们。还应通知他们 任何潜在的恶意攻击后操作,例如添加 MFA 因素和枚举应用程序。
限制来自非托管设备的访问。只要有可能,最好将 VPN 访问限制为仅受管理和经过身份验证的设备。
组织必须在不断变化的威胁形势中保持领先一步。在 Proofpoint,我们致力于提供您所需的见解和工具,以在这个充满挑战的环境中保护您的资产。
妥协指标
参考链接: https://www.proofpoint.com/us/blog/email-and-cloud-threats/evolving-threat-landscape-deep-dive-multichannel-attacks-targeting
图片来源网络侵权可联系删除
