Biotech Etats-Unis – La campagne de phishing Water Nue cible les comptes Office 365 de C-Suite – Act-in-biotech

Par Marshall Chen, Loseway Lu, Yorkbing Yap et Fyodor Yarochkin (Trend Micro Research)

Une série de compromis de messagerie professionnelle (BEC), qui utilisent des systèmes de spear-phishing sur les comptes Office 365, ciblent les dirigeants d’entreprise de plus de 1 000 entreprises à travers le monde depuis mars 2020. Les récentes campagnes ciblent des postes de direction aux États-Unis et au Canada.

Les fraudeurs, que nous avons nommés «Water Nue», ciblent principalement les comptes des dirigeants financiers pour obtenir des informations d’identification pour de nouvelles fraudes financières. Les e-mails de phishing redirigent les utilisateurs vers de fausses pages de connexion Office 365. Une fois les informations d’identification obtenues et les comptes compromis avec succès, des e-mails contenant des factures contenant des informations bancaires falsifiées sont envoyés aux subordonnés dans le but de siphonner de l’argent via des demandes de transfert de fonds.

Suivi des activités de Water Nue

L’acteur de la menace derrière cette campagne est intéressant pour plusieurs raisons. Il semble que leurs capacités techniques soient limitées malgré leur capacité à cibler avec succès des employés de haut niveau à l’échelle mondiale. Bien que leurs outils de phishing soient basiques (c.-à-d. Pas de portes dérobées, chevaux de Troie et autres logiciels malveillants), ils ont utilisé des services de cloud public pour mener leurs opérations. L’utilisation de services cloud leur a permis d’obscurcir leurs opérations en hébergeant des infrastructures dans les services eux-mêmes, ce qui a rendu leurs activités plus difficiles à repérer pour la criminalistique. Cette tactique est devenue plus courante chez les cybercriminels.

Nous avons d’abord remarqué la campagne d’un grand groupe de domaines de messagerie utilisés dans les tentatives de phishing. Nous avons constaté que la plupart des récipiendaires occupent des postes élevés au sein de l’entreprise, en particulier au sein du service des finances. Dans l’un des premiers cas que nous avons rencontrés, le responsable financier d’une banque située en Afrique aurait envoyé une facture PDF à un collègue, en précisant un compte bancaire à Hong Kong. L’e-mail a été envoyé à partir d’une adresse IP enregistrée sur l’un des sites de phishing sur lesquels l’attaquant a testé ses fonctionnalités.

La campagne se poursuit, l’acteur de la menace passant à de nouvelles infrastructures lorsque les noms de domaine utilisés sont signalés ou mis sur liste noire dans les systèmes.

Analyse de la campagne Water Nue

Les attaquants utilisent des services de distribution d’e-mails basés sur le cloud comme SendGrid pour envoyer des e-mails avec un lien cliquable qui redirige les cibles vers une fausse page Office 365. (Nous avons contacté SendGrid et partagé nos résultats avec eux.) Lorsque l’utilisateur cible tente de se connecter, les informations d’identification sont enregistrées via un simple script PHP.

Figure 1. Scénario d'attaque Water Nue

Figure 1. Scénario d’attaque Water Nue

Figure 2. Exemple d'informations d'identification enregistrées

Figure 2. Exemple d’informations d’identification enregistrées

Bien que les techniques ne soient pas nouvelles, les tentatives d’attaque semblent réussir, collectant plus de 800 informations d’identification des dirigeants de l’entreprise au moment de la rédaction.

Comment les comptes sont ciblés pour les attaques de phishing

Dans un e-mail de juillet envoyé à un responsable de niveau C, nous avons appris que l’URL du domaine de base est U10450540[.]ct[.]sendgrid[.]net, l’URL finale étant * getting-panes[.]sfo2 *.

Figure 3. Le champ d'en-tête de l'e-mail

Figure 3. Le champ d’en-tête de l’e-mail « de » montre New York et divers comptes de messagerie indiquant « Swiftme @ {nom de domaine de l’entreprise} »

«Swiftme» apparaît dans les en-têtes des e-mails de phishing et est accompagné de noms de compte avec des domaines de messagerie d’entreprise falsifiés. L’en-tête de l’e-mail affiché «de» et le sujet font également semblant d’être un service de messagerie vocale. «Swiftme» est peut-être un clin d’œil aux virements électroniques ou électroniques et révèle le but de la campagne après la collecte des informations d’identification.

Figure 4. Exemple d'e-mail

Figure 4. Exemple d’e-mail

Il convient de noter que la plate-forme SendGrid ne semble pas attacher les X-Mailers à l’origine. Les e-mails avec différents X-Mailers et en-têtes sont probablement ajoutés via des outils qui peuvent confondre les moteurs d’analyse. Voici quelques-uns des X-Mailers que nous avons observés:

X-Mailer: Mozilla / 5.0 (Windows; U; Win98; de-AT; rv
X-Mailer: Claws Mail 3.7.6 (GTK + 2.22.0; x86_64-pc-linux-gnu)
X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I)
X-Mailer: Messagerie iPhone (8A293)
X-Mailer: Opera7.22 / Win32 M2 build 3221
X-Mailer: ZuckMail [version 1.00]
X-Mailer: CommuniGate Pro WebUser v5.3.2

Figure 5. Un site de phishing imite la connexion Office 365

Figure 5. Un site de phishing imite la connexion Office 365

L’adresse IP d’origine de la machine de test / déploiement de Water Nue a été laissée dans un fichier texte clair sur le serveur du site de phishing pour les informations d’identification collectées.

Figure 6. Plan du site

Figure 6. Plan du site

Figure 7. L'index.html de la page de destination a une fonction vocale factice

Figure 7. L’index.html de la page de destination a une fonction vocale factice

Figure 8. Alors que la fonction de collecte principale réside dans app.js, l'emplacement de commande et contrôle (C&C) est intégré dans le code JavaScript

Figure 8. Alors que la fonction de collecte principale réside dans app.js, l’emplacement de commande et contrôle (C&C) est intégré dans le code JavaScript

Figure 9. La méthode jQuery est utilisée pour publier les informations d'identification de la cible sur le site d'hébergement

Figure 9. La méthode jQuery est utilisée pour publier les informations d’identification de la cible sur le site d’hébergement

Les pages de phishing enregistrent les mots de passe saisis par les visiteurs du site. Une fois que les informations d’identification compromises sont utilisées pour se connecter avec succès aux comptes, les fraudeurs peuvent s’identifier en tant que dirigeants. Ils enverront ensuite une demande de virement bancaire frauduleux pour inciter les destinataires à transférer de l’argent dans les comptes des criminels.

Nous avons trouvé un échantillon de courrier électronique BEC envoyé à partir de la même adresse IP. L’e-mail en question est une demande de facture qui a un en-tête d’e-mail légitime, qui est une tactique connue utilisée dans les escroqueries BEC.

Figure 10. Un exemple d'e-mail avec la même adresse IP d'origine

Figure 10. Un exemple d’e-mail avec la même adresse IP d’origine

Figure 11. Exemple de fausse facture PDF dans un e-mail BEC

Figure 11. Exemple de fausse facture PDF dans un e-mail BEC

Comment se défendre contre le BEC et d’autres escroqueries par hameçonnage

Contrairement à d’autres stratagèmes cybercriminels, Hameçonnage et Escroqueries BEC peuvent être difficiles à détecter car ils sont ciblés vers des destinataires spécifiques. Les attaquants cherchent à compromettre les comptes de messagerie pour accéder à des informations financières et autres informations sensibles liées aux opérations commerciales.

Voici quelques conseils pour vous protéger des arnaques par e-mail:

  • Éduquer et former les employés. Détourner les intrusions de l’entreprise grâce à la formation InfoSec. Tout le personnel – du PDG aux employés de base – doit se renseigner sur les différents types d’escroqueries et ce qu’il faut faire en cas de rencontre (c.-à-d. Vérifier avec les autres et vérifier les détails des courriels).
  • Confirmez les demandes en utilisant d’autres canaux. Faites preuve de prudence en suivant un système de vérification (par exemple, plusieurs approbations ou protocoles de vérification supplémentaires) parmi les employés qui travaillent avec des informations sensibles.
  • Examinez tous les e-mails. Méfiez-vous des e-mails irréguliers dont le contenu est suspect, comme l’e-mail de l’expéditeur douteux, le nom de domaine, le style d’écriture et les demandes urgentes.

Dans le cas évoqué ici, l’e-mail de l’attaquant lui-même n’inclut pas la charge utile typique des logiciels malveillants des pièces jointes malveillantes. En conséquence, les solutions de sécurité traditionnelles ne pourront pas protéger les comptes et les systèmes contre de telles attaques. Les utilisateurs peuvent également activer l’inspection du courrier pour l’expéditeur « sendgrid[.]net »dans la passerelle de messagerie.

Trend Micro protège à la fois les petites et moyennes entreprises et les entreprises contre les e-mails liés au phishing et au BEC. Utilisation de l’apprentissage automatique amélioré combiné à des règles expertes, Sécurité des e-mails hébergés Trend Micro ™ La solution analyse à la fois l’en-tête et le contenu d’un e-mail pour arrêter BEC et d’autres menaces par e-mail. Pour la vérification et l’authentification à la source, il utilise Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-Based Message Authentication, Reporting and Conformance (DMARC).

le Sécurité des applications cloud Trend Micro ™ La solution améliore la sécurité de Microsoft Office 365 et d’autres services cloud grâce à l’analyse des logiciels malveillants sandbox pour BEC et d’autres menaces avancées. Il utilise l’ADN du style d’écriture pour détecter les usurpations d’identité BEC et la vision par ordinateur pour trouver des sites de phishing voleurs d’informations d’identification. Il protège également le partage de fichiers dans le cloud contre les menaces et la perte de données en contrôlant l’utilisation des données sensibles.

Indicateurs de compromis (IoC)

URL C&C gérées par les acteurs de la menace:

  • https: // highstreetmuch[.]xyz / câlin / porte[.]php
  • https: // takeusall[.]en ligne / benzz / gate[.]PHP

Cartographie matricielle MITRE ATT & CK®

Source: Source link