Regole di Threat Hunting: Campagna di Phishing Water Nue

[post-views]
Agosto 11, 2020 · 2 min di lettura
Regole di Threat Hunting: Campagna di Phishing Water Nue

Nelle notizie di oggi, vogliamo avvisarti della campagna in corso da parte di Water Nue che prende di mira gli account aziendali di Office 365 negli Stati Uniti e in Canada. Notoriamente, i truffatori hanno raggiunto con successo un certo numero di dirigenti di alto livello in aziende di tutto il mondo e raccolto oltre 800 set di credenziali. Sebbene il loro set di strumenti di phishing sia limitato, non usano trojan o backdoor e sfruttano i servizi cloud. Senza alcun allegato o payload coinvolto nell’attacco, gli account delle vittime non possono essere protetti con le soluzioni di sicurezza tradizionali.

Nelle loro attività di spear-phishing iniziate a marzo, gli attaccanti Water Nue erano soliti cambiare la loro infrastruttura una volta che era bloccata dall’autenticazione multi-fattore e messa nella lista nera.

Combinando tentativi di password spraying e brute-force, l’attore della minaccia ottiene l’accesso agli account con i protocolli più sicuri. Inoltre, i ricercatori sottolineano che i protocolli di posta elettronica legacy come POP, SMTP, MAPI, IMAP, ecc. non supportano l’MFA che si ritiene fornisca una protezione globale, e gli attaccanti penetrano con successo nell’infrastruttura della vittima passando ad un’applicazione e oscurando le sue informazioni.

Per rimanere protetti dagli attacchi BES come la recente campagna di Water Nue, è fondamentale che i dipendenti siano formati sul lavoro con informazioni sensibili e sull’importanza di esaminare accuratamente le email in arrivo. 

Regola Sigma di Osman Demir aiuta a rilevare la recente campagna di phishing di Water Nue che prende di mira gli account Office 365 del livello C: https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

Tattiche: Accesso Iniziale

Tecniche: Link di Spearphishing (T1192)

Pronto a provare SOC Prime TDM? Registrati gratuitamente.

Or unisciti al Programma Threat Bounty per creare il tuo contenuto e condividerlo con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento degli Attacchi Mocha Manakin: Gli Hacker Diffondono un Backdoor NodeJS Personalizzato Chiamato NodeInitRAT Usando la Tecnica Paste-and-Run 6 min di lettura Ultime Minacce Rilevamento degli Attacchi Mocha Manakin: Gli Hacker Diffondono un Backdoor NodeJS Personalizzato Chiamato NodeInitRAT Usando la Tecnica Paste-and-Run by Veronika Telychko Uncoder AI Visualizza il Comportamento delle Minacce con il Flusso d’Attacco Automatizzato 3 min di lettura Piattaforma SOC Prime Uncoder AI Visualizza il Comportamento delle Minacce con il Flusso d’Attacco Automatizzato by Steven Edwards Rilevamento della Campagna Gamaredon: Gruppo APT Sostenuto dalla Russia Prende di Mira l’Ucraina Utilizzando File LNK per Diffondere il Backdoor Remcos 6 min di lettura Ultime Minacce Rilevamento della Campagna Gamaredon: Gruppo APT Sostenuto dalla Russia Prende di Mira l’Ucraina Utilizzando File LNK per Diffondere il Backdoor Remcos by Veronika Telychko
Tutte le notizie