Австралийские организации подверглись фишинговым атакам, замаскированным под Atlassian

28 сентября 2024 г.

Предприятия по всей Австралии и Азиатско-Тихоокеанскому региону были предупреждены, что киберпреступники используют популярные платформы, такие как Atlassian, для запуска более убедительных фишинговых атак на юридические фирмы и другие корпорации. Цель этих атак — украсть учетные данные сотрудников и нарушить защиту кибербезопасности компании.

Райан Экономос, главный технический директор по Азиатско-Тихоокеанскому региону в компании по безопасности электронной почты Mimecast, рассказал TechRepublic, что такие фишинговые атаки редки при использовании Atlassian в качестве прикрытия. Но он отметил, что фишинговые атаки становятся все более изощренными благодаря фишинговым наборам и ИИ, которые облегчают киберпреступникам выполнение их действий.

Рабочие пространства Atlassian, японские интернет-провайдеры и тематическая статья о соответствии требованиям

Отчет Mimecast Global Threat Intelligence Report 2024 H1 сообщил о появлении новой фишинговой тактики, которая использовала прикрытие обновления соответствия для атаки на сотрудников юридических фирм. Фишинговые атаки:

    Использовали популярные местные бренды Atlassian Workspaces, а также другие унифицированные платформы рабочих пространств, включая Archbee и Nuclino, для отправки сотрудникам вредоносных писем, которые выглядели знакомыми и законными. Использовали обновления соответствия устройств в качестве прикрытия, инструктируя сотрудников по электронной почте о том, что им необходимо обновить свои устройства, чтобы оставаться в соответствии с политикой компании. Были разработаны для перенаправления тех, кто нажимал на ссылку, на поддельный портал компании, где злоумышленники могли собирать учетные данные и другую конфиденциальную информацию. Встраивали фишинговую ссылку в электронное письмо, отправленное с адресов, связанных с японскими интернет-провайдерами.

«В электронных письмах содержится много персонализированной информации, например, сведения об «устройстве» и несколько ссылок на домен компании, с помощью которой они рассылают эти кампании для повышения достоверности», — говорится в отчете Mimecast.

SEE: Австралийская юридическая профессия спешит внедрить ИИ

«Имя адреса отправителя всегда ссылается на доменное имя целевой организации с целью обмануть конечных пользователей, заставив их думать, что это адрес их внутреннего отдела».

Растущая изощренность фишинговых атак

Экономос отметил, что, хотя изначально кампания была нацелена на австралийские юридические фирмы, с тех пор она распространилась на другие отрасли и больше не ограничивается юридическим сектором. Он выделил несколько аспектов кампании, которые указывают на растущую изощренность среди субъектов угроз.

Использование Atlassian и других рабочих пространств

По словам Экономоса, растущее использование рабочих пространств Atlassian является новым явлением на рынке.

«Mimecast продолжает наблюдать, как злоумышленники используют такие сервисы, как OneDrive и Google Docs, для размещения файлов или ссылок в своих кампаниях, однако использование рабочих пространств, таких как Atlassian, ранее не подвергалось серьезным злоупотреблениям», — сказал он.

Частью кампании было электронное письмо, которое, по-видимому, было от продукта Atlassian Confluence. Mimecast сослался на «заметный рост использования Atlassian» для обхода обнаружения в последнее время.

«Злоупотребление законными услугами — это постоянная и развивающаяся проблема», — сказал Экономос. «Злоумышленники продолжат использовать авторитетные источники для запуска и размещения своих кампаний, пытаясь избежать обнаружения».

СМ.: Тревожное состояние утечек данных в Австралии в 2024 году

Сбор разведданных с трекеров

Кампания использовала URL-адреса почтовых марок для перенаправления пользователей на решения унифицированного рабочего пространства. URL-адреса почтовых марок позволяют злоумышленникам собирать такие данные, как местоположение, данные браузера и то, какая часть письма была нажата, что позволяет им использовать эту информацию, чтобы сделать фишинговую приманку более убедительной.

Множественные методы обфускации URL

Чтобы пользователям было сложнее определить истинное назначение URL, фишинговая кампания использовала «множественные методы обфускации», заявила Mimecast. Сюда входят множественные перенаправления в URL, закодированные символы и вставка параметров отслеживания.

Привлечение ничего не подозревающих японских интернет-провайдеров

Хотя использование японских интернет-провайдеров не является уникальным для этой фишинговой кампании, Economos отметил, что они были использованы снова, как и в нескольких предыдущих атаках.

«Это по-прежнему демонстрирует, на какие меры готовы пойти злоумышленники, чтобы успешно осуществлять атаки на организации», — прокомментировал он.

Фишинговые атаки станут проще проводить и более убедительными

По данным Economos, фишинг по-прежнему остается одной из самых распространенных киберугроз среди организаций.

Ожидается, что генеративный ИИ и машинное обучение, а также помощь защитникам в остановке атак, повысят сложность и улучшат таргетинг и содержание фишинговых кампаний. Это побудит защитников обнаруживать и быстро реагировать на новые и нестандартные методы атак.

СМОТРЕТЬ: Сотрудники Азиатско-Тихоокеанского региона выбирают удобство вместо кибербезопасности

«Самым большим развитием стали скорость и точность фишинговых угроз за счет использования фишинговых наборов, автоматизации и технологий на основе ИИ», — сказал Экономос. «Эти платформы позволяют даже неквалифицированным злоумышленникам запускать масштабные кампании и дают возможность быстро создавать более убедительные фишинговые письма, чтобы избежать обнаружения традиционными инструментами безопасности».

Экономос также отметил рост использования предлогов (когда киберпреступник изучает информацию и выдает себя за другого персонажа, чтобы предоставить убедительную историю или «предлог» для обмана жертвы фишинга), а также компрометацию деловой электронной почты как значимые факторы эволюции ландшафта фишинговых угроз.

«Поскольку сферы нашей деятельности продолжают расширяться, злоумышленники расширяют используемые ими векторы, выходя за рамки электронной почты, нацеливаясь на платформы социальных сетей, инструменты для совместной работы, такие как Microsoft Teams, Slack и OneDrive, вплоть до атак типа «вишинг» и «смишинг» с использованием телефонных звонков или текстовых сообщений для обмана жертв», — сказал он.

Подпишитесь на рассылку Daily Tech Insider AU Оставайтесь в курсе последних технологических новинок с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях в отрасли, а также избранные статьи, загрузки и лучшие ресурсы. Вы будете получать руководства по горячим технологическим темам, которые наиболее актуальны для рынков Австралии, что поможет вам оставаться впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться
Подпишитесь на рассылку Daily Tech Insider AU Оставайтесь в курсе последних технологических новинок с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях в отрасли, а также избранные статьи, загрузки и лучшие ресурсы. Вы будете получать руководства по горячим технологическим темам, которые наиболее актуальны для рынков Австралии, что поможет вам оставаться впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться

Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE