Regole di Threat Hunting: Campagna di Phishing Water Nue

Ultime Minacce

Agosto 11, 2020

2 min di lettura

Regole di Threat Hunting: Campagna di Phishing Water Nue

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Nelle notizie di oggi, vogliamo avvisarti della campagna in corso da parte di Water Nue che prende di mira gli account aziendali di Office 365 negli Stati Uniti e in Canada. Notoriamente, i truffatori hanno raggiunto con successo un certo numero di dirigenti di alto livello in aziende di tutto il mondo e raccolto oltre 800 set di credenziali. Sebbene il loro set di strumenti di phishing sia limitato, non usano trojan o backdoor e sfruttano i servizi cloud. Senza alcun allegato o payload coinvolto nell’attacco, gli account delle vittime non possono essere protetti con le soluzioni di sicurezza tradizionali.

Nelle loro attività di spear-phishing iniziate a marzo, gli attaccanti Water Nue erano soliti cambiare la loro infrastruttura una volta che era bloccata dall’autenticazione multi-fattore e messa nella lista nera.

Combinando tentativi di password spraying e brute-force, l’attore della minaccia ottiene l’accesso agli account con i protocolli più sicuri. Inoltre, i ricercatori sottolineano che i protocolli di posta elettronica legacy come POP, SMTP, MAPI, IMAP, ecc. non supportano l’MFA che si ritiene fornisca una protezione globale, e gli attaccanti penetrano con successo nell’infrastruttura della vittima passando ad un’applicazione e oscurando le sue informazioni.

Per rimanere protetti dagli attacchi BES come la recente campagna di Water Nue, è fondamentale che i dipendenti siano formati sul lavoro con informazioni sensibili e sull’importanza di esaminare accuratamente le email in arrivo. 

Regola Sigma di Osman Demir aiuta a rilevare la recente campagna di phishing di Water Nue che prende di mira gli account Office 365 del livello C: https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

Tattiche: Accesso Iniziale

Tecniche: Link di Spearphishing (T1192)

Pronto a provare SOC Prime TDM? Registrati gratuitamente.

Or unisciti al Programma Threat Bounty per creare il tuo contenuto e condividerlo con la comunità TDM.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento di MostereRAT: Gli Attaccanti Abusano di AnyDesk e TightVNC per Accesso Persistente ai Sistemi Windows 5 min di lettura Ultime Minacce Rilevamento di MostereRAT: Gli Attaccanti Abusano di AnyDesk e TightVNC per Accesso Persistente ai Sistemi Windows by Daryna Olyniychuk Rilevamento degli Attacchi Mocha Manakin: Gli Hacker Diffondono un Backdoor NodeJS Personalizzato Chiamato NodeInitRAT Usando la Tecnica Paste-and-Run 6 min di lettura Ultime Minacce Rilevamento degli Attacchi Mocha Manakin: Gli Hacker Diffondono un Backdoor NodeJS Personalizzato Chiamato NodeInitRAT Usando la Tecnica Paste-and-Run by Veronika Zahorulko Rilevamento della Campagna Gamaredon: Gruppo APT Sostenuto dalla Russia Prende di Mira l’Ucraina Utilizzando File LNK per Diffondere il Backdoor Remcos 6 min di lettura Ultime Minacce Rilevamento della Campagna Gamaredon: Gruppo APT Sostenuto dalla Russia Prende di Mira l’Ucraina Utilizzando File LNK per Diffondere il Backdoor Remcos by Veronika Zahorulko