Règles de Chasse aux Menaces : Campagne de Phishing Water Nue

[post-views]
août 11, 2020 · 2 min de lecture
Règles de Chasse aux Menaces : Campagne de Phishing Water Nue

Dans les nouvelles d’aujourd’hui, nous voulons vous avertir de la campagne en cours menée par Water Nue ciblant les comptes professionnels Office 365 aux États-Unis et au Canada. Notamment, les fraudeurs ont réussi à atteindre un certain nombre de cadres supérieurs dans des entreprises du monde entier et ont récolté plus de 800 ensembles d’identifiants. Bien que leur ensemble d’outils de phishing soit limité, ils n’utilisent aucun cheval de Troie ou porte dérobée et tirent parti des services cloud. Sans pièces jointes ou charges utiles impliquées dans l’attaque, les comptes victimes ne peuvent pas être protégés avec des solutions de sécurité traditionnelles.

Dans leurs activités de spear-phishing qui ont commencé en mars, les attaquants de Water Nue avaient l’habitude de changer leur infrastructure une fois qu’elle était bloquée par l’authentification multifacteur et mise sur liste noire.

En combinant les tentatives de pulvérisation de mots de passe et de force brute, l’auteur de la menace obtient l’accès aux comptes avec les protocoles les plus sûrs. De plus, les chercheurs soulignent que les protocoles e-mail hérités tels que POP, SMTP, MAPI, IMAP, etc. ne prennent pas en charge l’AMF, qui est censée fournir une protection générale, et les attaquants pénètrent avec succès dans l’infrastructure de la victime en passant à une application et en obscurcissant ses informations.

Pour rester protégé contre les escroqueries BES telles que la récente campagne Water Nue, il est essentiel que les employés soient formés à travailler avec des informations sensibles et à la nécessité d’examiner minutieusement les courriels entrants. 

Règle Sigma par Osman Demir aide à détecter la récente campagne de phishing Water Nue ciblant les comptes Office 365 des dirigeants : https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

Tactiques : Accès Initial

Techniques : Lien de Spearphishing (T1192)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement.

Or rejoindre le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Attaques Mocha Manakin : Les Hackers Propagent un Cheval de Troie Personnalisé NodeJS Nommé NodeInitRAT en Utilisant la Technique Coller-et-Exécuter 6 min de lecture Dernières Menaces Détection des Attaques Mocha Manakin : Les Hackers Propagent un Cheval de Troie Personnalisé NodeJS Nommé NodeInitRAT en Utilisant la Technique Coller-et-Exécuter by Veronika Telychko Uncoder AI visualise le comportement des menaces avec des flux d’attaque automatisés 3 min de lecture Plateforme SOC Prime Uncoder AI visualise le comportement des menaces avec des flux d’attaque automatisés by Steven Edwards Détection de campagne Gamaredon : un groupe APT soutenu par la Russie cible l’Ukraine en utilisant des fichiers LNK pour propager le backdoor Remcos 6 min de lecture Dernières Menaces Détection de campagne Gamaredon : un groupe APT soutenu par la Russie cible l’Ukraine en utilisant des fichiers LNK pour propager le backdoor Remcos by Veronika Telychko
Toutes les actualités