Neue Zoom-Phishing-Angriffe nutzen Constant Contact, um SEGs zu umgehen
Inhaltsverzeichnis:
Das herausfordernde Jahr 2020 führte dazu, dass viele Unternehmen ihre Abhängigkeit vom Internet erhöhten und auf Heimarbeit umstellten. Dieser Trend führte zu einem explosionsartigen Anstieg der Nutzung von Videokonferenz-Apps. Cyberkriminelle ließen sich nicht die Chance entgehen, ihre bösartigen Absichten zu verfolgen. Ab dem Frühjahr 2020 registrierten sie viele gefälschte Domains, um bösartige Anzeigen und ausführbare Dateien zu verbreiten. Darüber hinaus eröffnete der Videokonferenz-„Boom“ breite Möglichkeiten für Cyber-Spionage. Dieser Trend gewinnt dieses Jahr weiter an Fahrt. Im Januar 2021 entdeckten Sicherheitsforscher eine weitere Kampagne, die von Zoom-Phishing profitiert. yet another campaign profiting from Zoom phishing.
Neues Zoom-Phishing
Der neue Köder versucht, sich als Zoom-Support auszugeben, um Anmeldedaten zu stehlen. Insbesondere erhalten Benutzer eine gefälschte E-Mail, in der behauptet wird, ein Zoom-Server sei aktualisiert worden, sodass alle Kunden ihre Konten verifizieren müssen, um weiterhin Einladungen zu verschicken oder Anrufen beizutreten. Die Nachricht bietet den Benutzern an, einem Link zu folgen, der sie auf eine gefälschte Phishing-Seite weiterleitet, die in der Lage ist, Anmeldedaten zu sammeln. Alle E-Mails zeigen „Zoom – no-reply@zoom(.)us“ im „Von“-Feld an, um die Opfer zu täuschen und glauben zu lassen, dass die E-Mail tatsächlich von Zoom stammt.
Bemerkenswerterweise wurden die Phishing-E-Mails über den E-Mail-Marketingdienst Constant Contact versendet. Hacker kompromittierten ein einzelnes Benutzerkonto, um die Angriffe zu verbreiten, vermutlich in dem Versuch, verschiedene Secure Email Gateways (SEGs) zu umgehen. Forscher bestätigen, dass diese Methode erfolgreich war, da gefälschte E-Mails mindestens in fünf SEG-Umgebungen erkannt wurden.
Zoom-Angriffsdetektion
Das SOC Prime-Team beobachtet Zoom-Angriffe genau, um Blitzschnell-Detektionen zu liefern und eine proaktive Verteidigung gegen solche Bedrohungen sicherzustellen. Zuvor haben wir einen praktischen Leitfaden für Benutzer zur Härtung des Zoom-Dienstesveröffentlicht. Außerdem können Sie fast zwei Dutzend Regeln vom Threat Detection Marketplace herunterladen , um Ihre Verteidigung gegen schlechte Zoom-Domains, gefälschte Installer und falsche Einladungen zu stärken.
Eine spezielle Community-Regel für die neueste Phishing-Kampagne ist dank Osman Demir, einem der produktivsten Threat Bounty-Entwickler, ebenfalls bereits im Threat Detection Marketplace verfügbar:
https://tdm.socprime.com/tdm/info/p8hnRPj8Vy7p/4dXzYncBmo5uvpkju4Ha/#rule-context
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Taktiken: Initial Access
Techniken: Spearphishing Link (T1566)
Suchen Sie nach den besten SOC-Inhalten, um Ihre Fähigkeiten im Kampf gegen dynamisch auftretende Cyber-Bedrohungen zu verbessern? Erhalten Sie ein kostenloses Abonnement für den Threat Detection Marketplace und verkürzen Sie die Zeit zur Erkennung von Cyberangriffen mit unserer SOC-Inhaltsbibliothek mit über 90.000 Inhalten. Möchten Sie Ihre eigenen Sigma-Regeln erstellen und Initiativen zur Bedrohungsjagd verbessern? Treten Sie unserem Threat Bounty-Programm bei und teilen Sie Ihre Erkenntnisse mit der SOC Prime-Community!
