脅威ハンティングルール：Water Nueフィッシングキャンペーン

今日のニュースでは、米国およびカナダのビジネスOffice 365アカウントを標的としたWater Nueによる継続中のキャンペーンについて警告したいと思います。特に詐欺師たちは世界中の多くの企業の高位管理職に成功裏に到達し、800セット以上の資格情報を収穫しました。彼らのフィッシングツールセットは限定的ですが、トロイの木馬やバックドアは使用せず、クラウドサービスを利用しています。攻撃には添付ファイルやペイロードが関係していないため、被害者のアカウントは従来のセキュリティソリューションでは保護できません。

3月から始まったウォーターヌエ攻撃者のスピアフィッシング活動では、多要素認証によってブロックされ、ブラックリストに登録された場合には、インフラを切り替えることがよくありました。

パスワードスプレーとブルートフォース試行を組み合わせて、脅威アクターは最も安全なプロトコルを使用してアカウントにアクセスします。加えて、研究者たちは、POP、SMTP、MAPI、IMAPなどの従来のメールプロトコルが、多くの人が全体的な保護を提供すると考えるMFAをサポートしていないことを強調しています。攻撃者は、アプリケーションに切り替えて情報を覆い隠すことで、被害者のインフラに成功裏に侵入します。

最近のWater NueキャンペーンのようなBES詐欺から保護するためには、従業員が機密情報を扱う訓練を受け、受信メールを詳細に調べる必要があります。

Sigmaルールによる オスマン・デミル 最近のWater Nueフィッシングキャンペーンを検出するのに役立つ、C-suiteのOffice 365アカウントを標的にしています。 https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

このルールには、以下のプラットフォームのための翻訳があります：

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

戦術: 初期アクセス

技法: スピアフィッシングリンク (T1192)

SOC Prime TDMを試してみませんか？ 無料でサインアップ.

Or Threat Bounty Programに参加する 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。