Regras de Caça a Ameaças: Campanha de Phishing Water Nue

[post-views]
Agosto 11, 2020 · 2 min de leitura
Regras de Caça a Ameaças: Campanha de Phishing Water Nue

Nas notícias de hoje, queremos alertá-lo sobre a campanha em andamento do Water Nue, que tem como alvo as contas empresariais do Office 365 nos EUA e Canadá. Notavelmente, os fraudadores conseguiram atingir vários gerentes de alto nível em empresas de todo o mundo e coletaram mais de 800 conjuntos de credenciais. Embora seu conjunto de ferramentas de phishing seja limitado, eles não usam trojans ou backdoors e tiram vantagem dos serviços em nuvem. Sem nenhum anexo ou carga útil envolvida no ataque, as contas das vítimas não podem ser protegidas com soluções de segurança tradicionais.

Em suas atividades de spear phishing que começaram em março, os atacantes do Water Nue costumavam mudar sua infraestrutura assim que era bloqueada pela autenticação multifator e colocada na lista negra.

Combinando spraying de senhas e tentativas de força bruta, o agente da ameaça obtém acesso a contas com os protocolos mais seguros. Além disso, os pesquisadores enfatizam que protocolos de email legados como POP, SMTP, MAPI, IMAP, etc. não suportam MFA que se acredita fornecer proteção geral, e os atacantes penetram com sucesso na infraestrutura da vítima trocando para um aplicativo e obscurecendo suas informações.

Para se manter protegido contra golpes BES, como a recente campanha Water Nue, é vital que os funcionários sejam treinados para lidar com informações sensíveis e a necessidade de examinar os emails recebidos. 

Regra Sigma por Osman Demir ajuda a detectar a recente campanha de phishing Water Nue que tem como alvo as contas do Office 365 do C-suite: https://tdm.socprime.com/tdm/info/1MpOfTTpAiW0/M_wR2HMBSh4W_EKGGv47/

A regra possui traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

Táticas: Acesso Inicial

Técnicas: Spearphishing Link (T1192)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente.

Or junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ataque Mocha Manakin: Hackers Espalham um Backdoor Customizado em NodeJS Apelidado NodeInitRAT Usando a Técnica Paste-and-Run 6 min de leitura Ameaças Mais Recentes Detecção do Ataque Mocha Manakin: Hackers Espalham um Backdoor Customizado em NodeJS Apelidado NodeInitRAT Usando a Técnica Paste-and-Run by Veronika Telychko Uncoder IA Visualiza Comportamento de Ameaça com Fluxo de Ataque Automatizado 3 min de leitura Plataforma SOC Prime Uncoder IA Visualiza Comportamento de Ameaça com Fluxo de Ataque Automatizado by Steven Edwards Detecção de Campanha Gamaredon: Grupo APT apoiado pela Rússia Alvo na Ucrânia Usando Arquivos LNK para Espalhar Backdoor Remcos 6 min de leitura Ameaças Mais Recentes Detecção de Campanha Gamaredon: Grupo APT apoiado pela Rússia Alvo na Ucrânia Usando Arquivos LNK para Espalhar Backdoor Remcos by Veronika Telychko
Todas as notícias