Reglas de Caza de Amenazas: Campaña de Phishing Water Nue

[post-views]
agosto 11, 2020 · 2 min de lectura
Reglas de Caza de Amenazas: Campaña de Phishing Water Nue

En las noticias de hoy, queremos advertirle sobre la campaña en curso de Water Nue que apunta a las cuentas empresariales de Office 365 en EE. UU. y Canadá. Notablemente, los estafadores lograron llegar a varios altos directivos en empresas de todo el mundo y cosecharon más de 800 conjuntos de credenciales. Aunque su conjunto de herramientas de phishing es limitado, no usan troyanos ni puertas traseras y aprovechan los servicios en la nube. Sin ningún adjunto o carga útil involucrada en el ataque, las cuentas de las víctimas no pueden ser protegidas con soluciones de seguridad tradicionales.

En sus actividades de spear-phishing que comenzaron en marzo, los atacantes de Water Nue solían cambiar su infraestructura una vez que era bloqueada por la autenticación multifactor y puesta en lista negra.

Combinando ataques de rociado de contraseñas e intentos de fuerza bruta, el actor de amenaza logra acceder a cuentas con los protocolos más seguros. Además, los investigadores enfatizan que los protocolos de correo electrónico heredados como POP, SMTP, MAPI, IMAP, etc. no son compatibles con MFA, que se cree que proporciona la protección general, y los atacantes penetran con éxito en la infraestructura de la víctima cambiando a una aplicación y ocultando su información.

Para estar protegido contra estafas BES como la reciente campaña de Water Nue, es vital que los empleados reciban capacitación sobre cómo manejar información sensible y la necesidad de examinar los correos electrónicos entrantes. 

Regla Sigma por Osman Demir que ayuda a detectar la reciente campaña de phishing de Water Nue que apunta a las cuentas de Office 365 del nivel C: https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

La regla tiene traducciones para las siguientes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

Tácticas: Acceso inicial

Técnicas: Enlace de spearphishing (T1192)

¿Listo para probar SOC Prime TDM? Regístrate gratis.

Or únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Ataques de Mocha Manakin: Hackers Difunden un Backdoor Personalizado de NodeJS Apodado NodeInitRAT Usando la Técnica de Pegado y Ejecución 5 min de lectura Últimas Amenazas Detección de Ataques de Mocha Manakin: Hackers Difunden un Backdoor Personalizado de NodeJS Apodado NodeInitRAT Usando la Técnica de Pegado y Ejecución by Veronika Telychko Uncoder AI Visualiza el Comportamiento de Amenazas con Flujo de Ataque Automatizado 2 min de lectura Plataforma SOC Prime Uncoder AI Visualiza el Comportamiento de Amenazas con Flujo de Ataque Automatizado by Steven Edwards Detección de Campaña de Gamaredon: Grupo APT Respaldado por Rusia Ataca a Ucrania Usando Archivos LNK para Propagar el Backdoor Remcos 5 min de lectura Últimas Amenazas Detección de Campaña de Gamaredon: Grupo APT Respaldado por Rusia Ataca a Ucrania Usando Archivos LNK para Propagar el Backdoor Remcos by Veronika Telychko
Todas las noticias