위협 사냥 콘텐츠: Zoom 초대를 이용한 피싱 캠페인

Zoom 관련 유인은 여전히 사이버 범죄자들에 의해 활발히 사용되고 있으며, 피싱 캠페인에서 가장 많이 사용된 주제 상위 10위 안에 자리를 잡고 있습니다. 락다운 초기부터 Zoom의 인기가 높아짐에 따라 공격의 수가 증가했으며, 연구자들이 서비스의 심각한 보안 문제를 발견한 후에도 많은 조직들이 사용을 거부하지 않았습니다. 

이 문제에 대해 우리는 이전에 Zoom 서비스 강화에 대한 실용 가이드를 출판하였으며, 나쁜 도메인, 가짜 설치 프로그램 등을 탐지하기 위한 10개 이상의 규칙이 Threat Detection Marketplace에 이미 제공되고 있습니다. 규칙 목록은 여기.

오늘, Threat Hunting Content 칼럼에서, Zoom 초대를 이용한 피싱 캠페인을 탐지하는 Osman Demir 에 의해 제출된 커뮤니티 규칙: https://tdm.socprime.com/tdm/info/3VenDiAFwIuY/mU-9t3IBQAH5UgbBW2bJ/?p=1

Cofense의 연구원들은 관찰했습니다 Microsoft 자격 증명을 얻기 위한 화상 회의 초대로 가장하는 새로운 피싱 캠페인을 관찰했습니다. 캠페인은 주로 원격 근무자들을 목표로 하며, 이들은 원격 회의 및 서비스 사용 시 제공되는 이메일에 익숙하지 않습니다. 일부 사용자들은 최적화된 가정 사무실 환경을 갖추지 못했을 수 있으며, 제대로 된 뷰를 제공하지 못하는 모니터로 작업하여 이러한 이메일을 자세히 살펴보기가 어렵습니다. 이메일 자체는 합법적인 커뮤니케이션을 연상시키며, 파란색 Zoom 로고, 사용자가 참여할 비디오 회의에 대한 애매한 언급, 그리고 초대를 검토하기 위한 링크가 포함되어 있어서, 주의깊게 살피지 않으면 알아채기 어렵고 문법 오류가 거의 없습니다. 

규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 접근

기술: Spearphishing Link (T1192)