Bedrohungserkennung: Phishing-Kampagne mit Zoom-Einladungen

[post-views]
Juni 16, 2020 · 2 min zu lesen
Bedrohungserkennung: Phishing-Kampagne mit Zoom-Einladungen

Zoom-Themen-Köder werden weiterhin aktiv von Cyberkriminellen genutzt und stehen an vorderster Stelle der am häufigsten verwendeten Themen in Phishing-Kampagnen. Seit Beginn der Lockdown-Maßnahmen stieg die Popularität von Zoom, ebenso die Anzahl der Angriffe. Und selbst nachdem Forscher ernsthafte Sicherheitsprobleme mit dem Dienst entdeckten, haben viele Organisationen nicht auf seine Nutzung verzichtet. 

Zu diesem Thema haben wir zuvor einen praktischen Leitfaden zur Härtung des Zoom-Dienstesveröffentlicht, und es sind bereits über ein Dutzend Regeln im Threat Detection Marketplace verfügbar, um schädliche Domains, gefälschte Installationsprogramme und mehr zu erkennen. Die Liste der Regeln finden Sie hier.

Heute, in unserer Kolumne Threat Hunting Content, wird die von der Gemeinschaft eingereichte Regel von Osman Demir vorgestellt, die eine Phishing-Kampagne mit Zoom-Einladungen erkennt: https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

Forscher von Cofense beobachteten eine neue Phishing-Kampagne, die als Video-Konferenzeinladung getarnt ist, um Microsoft-Zugangsdaten von Nutzern zu erhalten. Die Kampagne zielt hauptsächlich auf Remote-Arbeiter ab, die mit Videokonferenzen und den damit verbundenen E-Mails nicht vertraut sind. Einige Nutzer haben möglicherweise nicht die optimale Heimwerker-Ausstattung und arbeiten an Monitoren, die ihnen kaum eine richtige Ansicht ermöglichen, was es erschwert, diese E-Mails genau zu prüfen. Die E-Mail selbst erinnert an eine legitime Kommunikation – das blaue Zoom-Logo, eine vage Erwähnung einer Videokonferenz, der Nutzer beitreten sollen, und ein Link, über den sie die Einladung einsehen können; sie ist unauffällig genug und weitgehend frei von grammatikalischen Fehlern. 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Initial Access

Techniken: Spearphishing Link (T1192)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten