الأخبار التكنولوجية والاستعراضات والنصائح!

اختراق هجمات التصيد المستهدفة بنجاح كبار التنفيذيين في أكثر من 150 شركة

في الأشهر القليلة الماضية ، نجحت مجموعات متعددة من المهاجمين في اختراق حسابات البريد الإلكتروني للشركات لما لا يقل عن 156 من كبار الضباط في شركات مختلفة مقرها في ألمانيا والمملكة المتحدة وهولندا وهونغ كونغ وسنغافورة.

مُدبلجPerSwaysion، 'استفادت حملة الهجمات الإلكترونية التي تم رصدها حديثًا من خدمات مشاركة الملفات من Microsoft – بما في ذلك Sway و SharePoint و OneNote – لإطلاق هجمات تصيد ذات استهداف عالٍ.

وفقًا لتقرير فريق Group-IB Threat Intelligence الذي تم نشره اليوم ومشاركته مع The Hacker News ، هاجمت عمليات PerSwaysion المديرين التنفيذيين لأكثر من 150 شركة حول العالم ، بشكل أساسي مع الشركات في قطاعات المالية والقانون والعقارات.

"من بين هؤلاء الضحايا من كبار الضباط ، ظهر أكثر من 20 حساب Office365 للمدراء التنفيذيين والرؤساء والمديرين الإداريين."

حتى الآن ناجحة ولا تزال مستمرة ، تم تنظيم معظم عمليات PerSwaysion من قبل المحتالين من نيجيريا وجنوب إفريقيا الذين استخدموا مجموعة تصيد تستند إلى إطار جافا سكريبت Vue.js ، من الواضح ، تم تطويرها واستئجارها من قراصنة ناطقين فيتناميين.

اختراق هجمات التصيد المستهدفة بنجاح كبار التنفيذيين في أكثر من 150 شركة 1

"بحلول أواخر أيلول [سبتمبر] 2019 ، اعتمدت حملة PerSwaysion الكثير من حزم التكنولوجيا الناضجة ، باستخدام نقطة اتصال Google لخوادم تطبيقات التصيد على الويب و Cloudflare لخوادم الواجهة الخلفية للبيانات."

مثل معظم هجمات التصيد الاحتيالي التي تهدف إلى سرقة بيانات اعتماد Microsoft Office 365 ، فإن رسائل البريد الإلكتروني الاحتيالية التي يتم إرسالها كجزء من عملية PerSwaysion تجذب الضحايا أيضًا باستخدام مرفق PDF غير ضار يحتوي على رابط "اقرأ الآن" إلى ملف مستضاف باستخدام Microsoft Sway.

وقال الباحثون "يختار المهاجمون خدمات مشاركة المحتوى السحابية الشرعية ، مثل Microsoft Sway و Microsoft SharePoint و OneNote لتجنب الكشف عن حركة المرور".

بعد ذلك ، تحتوي صفحة العرض التقديمي المصممة خصيصًا على خدمة Microsoft Sway أيضًا على رابط "قراءة الآن" آخر يعيد توجيه المستخدمين إلى موقع التصيد الفعلي – في انتظار الضحايا لإدخال بيانات اعتماد حساب البريد الإلكتروني أو معلومات سرية أخرى.

بمجرد السرقة ، ينتقل المهاجمون على الفور إلى الخطوة التالية وينزّلون بيانات البريد الإلكتروني للضحايا من الخادم باستخدام واجهات برمجة تطبيقات IMAP ، ثم ينتحلون هوياتهم لاستهداف الأشخاص الذين لديهم اتصالات بريد إلكتروني حديثة مع الضحية الحالية ويؤدون أدوارًا مهمة في نفس أو غيرها الشركات.

هجوم التصيد الإلكتروني

"أخيرًا ، يقومون بإنشاء ملفات PDF للتصيد الاحتيالي بالاسم الكامل للضحية الحالية وعنوان البريد الإلكتروني واسم الشركة القانوني. يتم إرسال ملفات PDF هذه إلى مجموعة مختارة من الأشخاص الجدد الذين يميلون إلى أن يكونوا خارج منظمة الضحية ويشغلون مناصب مهمة. عادةً ما يحذف المشغلون انتحال الهوية من رسائل البريد الإلكتروني من علبة الصادر لتجنب الشك. "

"تشير الدلائل إلى أنه من المرجح أن يستخدم المحتالون ملفات تعريف LinkedIn لتقييم أوضاع الضحايا المحتملة. يقلل هذا التكتيك من إمكانية الإنذار المبكر من زملاء الضحية الحاليين ويزيد من معدل نجاح دورة التصيد الجديدة".

على الرغم من عدم وجود دليل واضح على كيفية استخدام المهاجمين لبيانات الشركة المخترقة ، يعتقد الباحثون أنه يمكن "بيعها بالجملة إلى المحتالين الماليين الآخرين لإجراء عمليات الاحتيال النقدي التقليدية".

قامت Group-IB أيضًا بإعداد صفحة ويب على الإنترنت حيث يمكن لأي شخص التحقق مما إذا كان عنوان بريده الإلكتروني قد تم اختراقه كجزء من هجمات PerSwaysion – ومع ذلك ، يجب عليك استخدامه فقط وإدخال بريدك الإلكتروني إذا كنت تتوقع بشدة التعرض لهجوم.