Как показывают новые исследования, хакеры преследуют профессионалов высокого уровня, в том числе руководителей высшего звена, с помощью целенаправленных фишинговых атак и атак с целью захвата облачных учетных записей.
В отчете Proofpoint описывается новая кампания по компрометации сред Microsoft Azure и облачных учетных записей, начавшаяся с конца ноября 2023 года.
Было замечено, что неназванные злоумышленники распространяли индивидуальные фишинговые приманки в общих документах. По словам исследователей, некоторые документы содержат встроенные ссылки «Просмотреть документ», которые просто перенаправляют жертв на вредоносную фишинговую страницу, которая крадет учетные данные людей для входа. Украсть данные и замести следы
Хотя хакеры, кажется, забросили относительно широкую сеть, они по-прежнему преследуют руководителей и высшее руководство, часто становясь жертвами директоров по продажам, менеджеров по работе с клиентами и финансовых менеджеров, а также лиц, занимающих руководящие должности, таких как «вице-президент по операциям». », «Финансовый директор и казначей» и «Президент и генеральный директор».
Если им удастся проникнуть в облачную среду своих целей, хакерам придется предпринять ряд действий: от настройки собственной многофакторной аутентификации, поддержания постоянства до кражи данных. В некоторых случаях они также используют свое положение для взлома деловой электронной почты (BEC) и мошенничества с использованием электронных средств, отправляя запросы на оплату в отделы кадров и финансов.
Наконец, они установили несколько правил для почтовых ящиков, чтобы замести следы и стереть любые доказательства своего присутствия из целевой сети.
Хотя инфраструктура хакеров включала «различные прокси, услуги хостинга данных и захваченные домены», они также использовали местных интернет-провайдеров фиксированной связи, что давало исследователям представление об их местонахождении. В число таких непрокси-источников входят российская компания «Selena Telecom LLC» и нигерийские операторы связи «Airtel Networks Limited» и «MTN ignore Communication Limited», что заставляет Proofpoint подозревать, что злоумышленники могут иметь российское и нигерийское происхождение.
Однако стоит отметить, что Proofpoint еще не приписал эту кампанию конкретному злоумышленнику. Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
