آخرین اخبار
صفحه اصلی
اخبار

هشدار مایکروسافت درباره کارزار فیشینگ پیچیده AitM و BEC علیه شرکت‌های انرژی

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
478 نمایش ها

کمیته رکن چهارم – مایکروسافت از شناسایی یک حمله چندمرحله‌ای فیشینگ از نوع مهاجم-در-میانه (AitM) و کلاهبرداری ایمیلی تجاری (BEC) خبر داده که با بهره‌گیری از سرویس‌های معتبر مانند SharePoint، سازمان‌های فعال در حوزه انرژی را هدف قرار داده است.

به گزارش کمیته رکن چهارم، تیم تحقیقات امنیتی Microsoft Defender نسبت به گسترش یک کارزار فیشینگ پیچیده هشدار داده‌اند که چندین سازمان حوزه انرژی را هدف قرار داده است. این حمله با بهره‌گیری از ترکیب تکنیک‌های مهاجم-در-میانه (Adversary-in-the-Middle – AitM) و کلاهبرداری ایمیلی تجاری (Business Email Compromise – BEC) اجرا شده است.

آغاز این حمله با ارسال ایمیل‌های فیشینگ از طریق حساب‌های کاربری به خطر افتاده آغاز شده که مهاجمان از طریق آن‌ها، پیام‌هایی جعلی تحت عنوان اشتراک‌گذاری اسناد SharePoint ارسال کرده‌اند. این پیام‌ها که به ظاهر از منابع مورد اعتماد ارسال شده‌اند، کاربران را ترغیب به کلیک روی لینک‌هایی می‌کنند که آن‌ها را به صفحات جعلی ورود هدایت می‌کند.

پس از سرقت اطلاعات ورود، مهاجمان با استفاده از کوکی‌های نشست و دسترسی مستقیم به حساب‌های قربانی، مجموعه‌ای از اقدامات برای ماندگاری اجرا کرده‌اند؛ از جمله ایجاد قوانین در صندوق ورودی برای حذف ایمیل‌های ورودی، علامت‌گذاری ایمیل‌ها به‌عنوان خوانده‌شده و حذف پاسخ‌های خودکار یا اعلان‌های خارج از دفتر. این روش‌ها به مهاجمان امکان داده‌اند تا بدون جلب توجه کاربران، حملات بیشتری را از طریق حساب‌های آلوده ترتیب دهند.

در یک نمونه، بیش از ۶۰۰ ایمیل فیشینگ از یک حساب آلوده ارسال شده که همکاران داخلی و مخاطبان خارجی را هدف قرار داده‌اند. مهاجمان حتی در مواردی، پاسخ‌هایی را برای تأیید اصالت پیام ارسال کرده و سپس ردپای خود را از صندوق پستی حذف کرده‌اند.

بر اساس تحلیل‌های مایکروسافت، پیچیدگی عملیاتی این حملات نشان می‌دهد که بازنشانی رمز عبور به‌تنهایی برای مقابله با تهدید کافی نیست. اقدامات اصلاحی باید شامل ابطال کوکی‌های نشست فعال، حذف قوانین مخرب صندوق ورودی و بررسی دقیق تنظیمات احراز هویت چندمرحله‌ای (MFA) باشد.

همچنین این حمله بخشی از روندی گسترده‌تر است که در آن مهاجمان از پلتفرم‌های معتبر مانند Google Drive، AWS و Confluence برای مرحله‌بندی حملات خود استفاده می‌کنند؛ روشی که با عنوان Living-off-Trusted-Sites (LOTS) شناخته می‌شود و به دور زدن فیلترهای امنیتی کمک می‌کند.

هم‌زمان، شرکت Okta نیز از شناسایی کیت‌های فیشینگ صوتی (Vishing) خبر داده که به‌طور خاص برای هدف قراردادن کاربران پلتفرم‌هایی مانند Google و Microsoft طراحی شده‌اند. در این حملات، مهاجمان با تماس تلفنی، قربانیان را به وارد کردن اطلاعات حساس در صفحات جعلی هدایت می‌کنند. این کیت‌ها که به‌صورت سرویس فروخته می‌شوند، امکان کنترل جریان احراز هویت را در زمان واقعی برای مهاجم فراهم می‌کنند.

از دیگر ترفندهای اخیر در حملات فیشینگ می‌توان به سوءاستفاده از ساختار URLهای احراز هویت پایه (Basic Auth) و حملات Homoglyph اشاره کرد. در این روش‌ها، دامنه‌های جعلی با استفاده از ترکیب‌هایی مانند “rn” به جای “m” برای فریب کاربران به‌کار گرفته شده‌اند. دامنه‌هایی مانند rnicrosoft.com و rnastercard.de نمونه‌هایی از این ترفندهای بصری هستند.

کارشناسان امنیتی توصیه می‌کنند سازمان‌ها برای مقابله با این تهدیدات روزافزون:

  • از احراز هویت چندمرحله‌ای مقاوم در برابر فیشینگ استفاده کنند

  • دسترسی مشروط و ارزیابی پیوسته را پیاده‌سازی نمایند

  • قوانین ایمیل مشکوک را بررسی و حذف کنند

  • نشست‌های فعال را در صورت بروز حادثه باطل کنند

  • و پایش مداوم هویت و رفتار کاربر را در دستور کار قرار دهند

جمع‌بندی این گزارش نشان می‌دهد که مهاجمان با تکیه بر سرویس‌های معتبر و مهندسی اجتماعی پیشرفته، به‌راحتی از سد دفاع‌های کلاسیک عبور می‌کنند؛ بنابراین اتخاذ رویکردهای امنیتی چندلایه برای مقابله مؤثر با این حملات الزامی است.

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.