Bedrohungsjagdrichtlinien: Water Nue Phishing-Kampagne

[post-views]
August 11, 2020 · 2 min zu lesen
Bedrohungsjagdrichtlinien: Water Nue Phishing-Kampagne

In den heutigen Nachrichten möchten wir Sie über die laufende Kampagne von Water Nue warnen, die auf Geschäftskonten von Office 365 in den USA und Kanada abzielt. Bemerkenswerterweise erreichten die Betrüger weltweit eine Reihe von hochrangigen Managern in Unternehmen und erbeuteten über 800 Anmeldedatensätze. Obwohl ihr Phishing-Toolset begrenzt ist, verwenden sie keine Trojaner oder Hintertüren und nutzen Cloud-Dienste aus. Da bei dem Angriff keine Anhänge oder Nutzlasten involviert sind, können die Opferkonten nicht mit herkömmlichen Sicherheitslösungen geschützt werden.

In ihren Spear-Phishing-Aktivitäten, die im März begannen, wechselten die Water Nue-Angreifer ihre Infrastruktur, sobald sie durch Multi-Faktor-Authentifizierung blockiert und auf schwarze Listen gesetzt wurde.

Durch Kombinieren von Password Spraying und Brute-Force-Versuchen erhält der Bedrohungsakteur Zugang zu Konten mit den sichersten Protokollen. Außerdem betonen die Forscher, dass ältere E-Mail-Protokolle wie POP, SMTP, MAPI, IMAP usw. keine MFA unterstützen, von der angenommen wird, dass sie den umfassenden Schutz bietet, und die Angreifer erfolgreich in die Opfer-Infrastruktur eindringen, indem sie auf eine Anwendung umschalten und deren Informationen verschleiern.

Um sich gegen BES-Betrügereien wie die kürzliche Water Nue-Kampagne zu schützen, ist es wichtig, dass Mitarbeiter im Umgang mit sensiblen Informationen geschult werden und die eingehenden E-Mails sorgfältig prüfen.

Sigma-Regel von Osman Demir hilft, die jüngste Water Nue-Phishing-Kampagne zu erkennen, die auf die Office 365-Konten der Unternehmensführung abzielt: https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

Taktiken: Erste Zugang

Techniken: Spear-Phishing-Link (T1192)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden.

Or dem Threat Bounty Program beitreten um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Mocha Manakin Angriffserkennung: Hacker Verbreiten Eine Angepasste NodeJS Backdoor Namens NodeInitRAT Mit Der Paste-and-Run-Technik 5 min zu lesen Neueste Bedrohungen Mocha Manakin Angriffserkennung: Hacker Verbreiten Eine Angepasste NodeJS Backdoor Namens NodeInitRAT Mit Der Paste-and-Run-Technik by Veronika Telychko Uncoder AI visualisiert Bedrohungsverhalten mit automatisiertem Angriffsablauf 2 min zu lesen SOC Prime Plattform Uncoder AI visualisiert Bedrohungsverhalten mit automatisiertem Angriffsablauf by Steven Edwards Erkennung der Gamaredon-Kampagne: Von Russland unterstützte APT-Gruppe zielt mit LNK-Dateien auf die Ukraine ab, um Remcos-Backdoor zu verbreiten 5 min zu lesen Neueste Bedrohungen Erkennung der Gamaredon-Kampagne: Von Russland unterstützte APT-Gruppe zielt mit LNK-Dateien auf die Ukraine ab, um Remcos-Backdoor zu verbreiten by Veronika Telychko
Alle Nachrichten