Exploitation de Google AMP dans des attaques de phishing ciblant les utilisateurs en entreprise
Table des matières :
Hameçonnage reste l’une des techniques d’attaque les plus répandues en réponse à une augmentation continue des campagnes de phishing à travers le monde, ce qui crée une demande croissante de contenu de détection contre les menaces associées. Les cyber-défenseurs ont observé les dernières campagnes malveillantes exploitant le vecteur d’attaque de phishing, dans lesquelles les pirates exploitent les Google Accelerated Mobile Pages (AMP) et appliquent une nouvelle tactique d’adversaire pour échapper à la détection.
Détecter les attaques de phishing abusant de Google AMP
Pour rationaliser la recherche de menaces et permettre aux défenseurs d’identifier les attaques exploitant de nouvelles tactiques de phishing, la plateforme SOC Prime pour la défense cybernétique collective agrège un ensemble de contenu de détection pertinent tout en permettant aux utilisateurs de bénéficier d’outils innovants pour améliorer la couverture de détection des menaces, la visibilité et la capacité d’ingénierie.
Possibilité d’abus de Google AMP pour le hameçonnage (via un proxy)
Une règle Sigma dédiée ci-dessus vise à détecter les possibles attaques de phishing abusant de Google AMP. La détection est compatible avec 17 solutions SIEM, EDR, XDR et Data Lake abordant la tactique d’accès initial, avec Spearphishing Link (T1566.002) comme sous-technique correspondant.
Pour devancer les attaquants et faire face à l’avalanche de menaces de phishing, SOC Prime fournit une collection d’algorithmes de détection sélectionnés pour aider les organisations à optimiser les risques de leur posture de cybersécurité. En cliquant sur le bouton Explorer les détections ci-dessous, les passionnés de sécurité peuvent accéder à un large éventail de détections visant à identifier les activités malveillantes associées au phishing. Pour une enquête sur les menaces rationalisée, les équipes peuvent également approfondir les métadonnées pertinentes, y compris les références ATT&CK et CTI.
Analyse d’attaque de phishing abusant de Google AMP
De nouvelles campagnes de phishing font sensation dans l’arène des menaces cybernétiques. Les attaquants exploitent une nouvelle tactique de phishing en abusant d’un cadre HTML populaire appelé Google AMP et ciblant les utilisateurs d’entreprise. Dans ces campagnes d’adversaires, les pirates exploitent les URL de Google AMP pour l’évasion de détection et exploitent un large éventail d’autres TTP d’attaquant pour contourner la protection de sécurité des e-mails, y compris l’exploitation de domaines de confiance, la redirection d’e-mail, l’abus des e-mails de phishing basés sur des images, et plus encore.
La recherche par Cofense a révélé que les attaques de phishing exploitant les URL de Google AMP ont émergé dans le paysage des menaces cybernétiques en mai 2023. Dans les dernières campagnes de phishing, les adversaires profitent des sites hébergés sur Google.com ou Google.co.uk, qui sont considérés comme des domaines de confiance permettant aux attaquants de séduire plus d’utilisateurs et de mener à bien leurs intentions malveillantes. Les acteurs de la menace ciblent principalement leurs opérations offensives contre les employés d’entreprise cherchant à voler leurs identifiants de connexion et réussissant à échapper aux passerelles de messagerie sécurisées.
Fiez-vous à SOC Prime pour être entièrement équipé de contenu de détection contre les TTP utilisés dans les cyberattaques en cours, ainsi que d’outils innovants pour renforcer la défense active basée sur les menaces. Inscrivez-vous à la plateforme SOC Prime pour renforcer vos capacités de défense cybernétique tout en maximisant finalement la valeur des investissements en sécurité et en libérant un temps précieux pour les équipes SecOps.
