위협 헌팅 규칙: Water Nue 피싱 캠페인

오늘 뉴스에서는 미국과 캐나다의 비즈니스 Office 365 계정을 대상으로 하는 Water Nue의 진행 중인 캠페인에 대해 경고하고자 합니다. 특히, 사기꾼들은 전 세계 여러 회사의 고위 관리자들에게 성공적으로 접근하여 800개 이상의 자격 증명을 수집했습니다. 그들의 피싱 도구는 제한적이지만, 트로이목마나 백도어를 사용하지 않으며 클라우드 서비스를 활용합니다. 첨부 파일이나 페이로드가 공격에 관련되지 않아 전통적인 보안 솔루션으로 피해자 계정을 보호할 수 없습니다.

3월에 시작된 스피어 피싱 활동에서 Water Nue 공격자들은 다중 인증과 블랙리스트에서 차단되면 자신들의 인프라를 변경하곤 했습니다.

비밀번호 스프레이 및 무차별 대입 공격을 결합하여 위협 행위자는 가장 안전한 프로토콜로 계정에 접근할 수 있습니다. 또한, 연구원들은 POP, SMTP, MAPI, IMAP 등과 같은 레거시 이메일 프로토콜이 다중 인증(MFA)을 지원하지 않아 전반적인 보호를 제공한다고 여겨지지 않으며, 공격자는 애플리케이션으로 전환하여 정보를 숨김으로써 피해자의 인프라에 성공적으로 침투한다고 강조합니다.

최근 Water Nue 캠페인과 같은 BES 사기에 대한 보호를 유지하려면, 직원들이 민감한 정보를 다루는 방법에 대해 훈련을 받고, 수신 이메일을 면밀히 조사하는 것이 중요합니다. 

Sigma 규칙 작성자 Osman Demir 경영진의 Office 365 계정을 목표로 하는 최근 Water Nue 피싱 캠페인을 감지하는 데 도움을 줍니다: https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

전술: 초기 접근

기술: 스피어 피싱 링크 (T1192)

SOC Prime TDM을 시도할 준비가 되셨습니까? 무료로 가입하세요.

Or 위협 보상 프로그램에 참여하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.