《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 釣魚(yú)網(wǎng)站使用卡巴斯基的SES令牌進(jìn)行攻擊

釣魚(yú)網(wǎng)站使用卡巴斯基的SES令牌進(jìn)行攻擊

2021-11-07
來(lái)源:嘶吼專(zhuān)業(yè)版
關(guān)鍵詞: SES令牌 釣魚(yú)網(wǎng)站

  犯罪分子通過(guò)偽造卡巴斯基的電子郵件地址進(jìn)行魚(yú)叉式攻擊來(lái)竊取Office 365憑證。

  該安全公司在周一發(fā)布的一份公告中說(shuō),盡管釣魚(yú)郵件是來(lái)自noreply@sm.kaspersky.com 等發(fā)件人的地址,但卡巴斯基確定沒(méi)有人發(fā)送過(guò)這些釣魚(yú)郵件。相反,這些郵件是用卡巴斯基合法的亞馬遜簡(jiǎn)易電子郵件服務(wù)(SES)令牌發(fā)送的。

  亞馬遜SES是一種可擴(kuò)展的電子郵件服務(wù),它允許開(kāi)發(fā)者在營(yíng)銷(xiāo)或大規(guī)模電子郵件通信等任何應(yīng)用場(chǎng)景發(fā)送郵件。

  根據(jù)卡巴斯基的解釋?zhuān)@個(gè)訪(fǎng)問(wèn)令牌是在測(cè)試網(wǎng)站2050.earth時(shí)分發(fā)給第三方承包商的。2050.earth網(wǎng)站是卡巴斯基的一個(gè)項(xiàng)目,它有一個(gè)互動(dòng)地圖,未來(lái)學(xué)家和其他人可以使用該地圖推測(cè)未來(lái)幾十年地球會(huì)發(fā)生什么。并且該網(wǎng)站托管在亞馬遜的基礎(chǔ)設(shè)施上。

  卡巴斯基說(shuō),在發(fā)現(xiàn)它所說(shuō)的Office 365憑證魚(yú)叉式攻擊頻率大幅上升后,這些攻擊很可能是來(lái)自多個(gè)威脅攻擊者,之后安全人員對(duì)SES令牌立即進(jìn)行了撤銷(xiāo)。

  根據(jù)官方發(fā)布的內(nèi)容,這次釣魚(yú)攻擊沒(méi)有造成任何損失,在2050.earth和相關(guān)服務(wù)中沒(méi)有發(fā)現(xiàn)服務(wù)器被破壞、未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)或任何其他惡意活動(dòng)。

  微信圖片_20211107133928.jpg

  攻擊誘餌:虛假的傳真

  釣魚(yú)網(wǎng)站是網(wǎng)絡(luò)犯罪分子通過(guò)精心設(shè)計(jì)電子郵件來(lái)欺騙人們,并且讓他們交出在線(xiàn)賬戶(hù)的憑據(jù)的一種常見(jiàn)方式。釣魚(yú)攻擊者有時(shí)會(huì)通過(guò)冒充受信任的公司(如卡巴斯基)、應(yīng)用程序或其他機(jī)構(gòu)來(lái)欺騙人們,將受害者引導(dǎo)到專(zhuān)門(mén)制作的釣魚(yú)網(wǎng)站內(nèi),欺騙他們輸入憑據(jù),讓他們以為這是個(gè)合法的網(wǎng)站。

  Office 365憑證是網(wǎng)絡(luò)釣魚(yú)攻擊的一個(gè)很常見(jiàn)的攻擊目標(biāo)。例如,今年3月,研究人員就發(fā)現(xiàn)了一個(gè)專(zhuān)門(mén)針對(duì)保險(xiǎn)和金融服務(wù)行業(yè)高管進(jìn)行攻擊的網(wǎng)絡(luò)釣魚(yú)騙局,其目的是獲取他們的微軟365憑證并發(fā)起商業(yè)電子郵件泄露(BEC)攻擊。

  這個(gè)以卡巴斯基為主題進(jìn)行釣魚(yú)攻擊的網(wǎng)絡(luò)犯罪分子并沒(méi)有冒充卡巴斯基的員工。相反,這些釣魚(yú)郵件通常都聲稱(chēng)是 “傳真通知”,通過(guò)引誘目標(biāo)進(jìn)入虛假的網(wǎng)站,然后獲取微軟在線(xiàn)服務(wù)的憑證。這早已經(jīng)不是第一次使用 “傳真通知 ”這種古老的詐騙術(shù)語(yǔ)了。2020年12月,Office 365的證書(shū)也受到了相同攻擊方式的攻擊。

  卡巴斯基的釣魚(yú)郵件是從各種虛假的卡巴斯基網(wǎng)址發(fā)出的,它們來(lái)自多個(gè)網(wǎng)站,包括亞馬遜的網(wǎng)絡(luò)服務(wù)基礎(chǔ)設(shè)施。

  卡巴斯基提供了下面的釣魚(yú)郵件樣本。

  分析顯示,這些網(wǎng)絡(luò)釣魚(yú)活動(dòng)使用的是一個(gè)被卡巴斯基研究人員稱(chēng)為 “Iamtheboss ”的網(wǎng)絡(luò)釣魚(yú)工具包,還有另一個(gè)被稱(chēng)為 “MIRCBOOT ”的網(wǎng)絡(luò)釣魚(yú)工具包。

  釣魚(yú)平臺(tái)BulletProofLink提供的MIRCBOOT服務(wù)

  MIRCBOOT這個(gè)名字可能聽(tīng)起來(lái)很熟悉,可能因?yàn)樗俏④涀罱l(fā)現(xiàn)的網(wǎng)絡(luò)釣魚(yú)工具包之一,當(dāng)時(shí)微軟就發(fā)現(xiàn)了一個(gè)大規(guī)模的、很有組織性的、復(fù)雜的網(wǎng)絡(luò)釣魚(yú)(PhaaS)攻擊平臺(tái),犯罪分子稱(chēng)之為BulletProofLink。

  BulletProofLink是一個(gè)秘鑰竊取平臺(tái),該平臺(tái)提供了釣魚(yú)工具包、電子郵件模板和其他黑客工具,讓用戶(hù)定制攻擊活動(dòng)并開(kāi)發(fā)自己的工具。然后他們利用PhaaS平臺(tái)提供的釣魚(yú)工具包、電子郵件模板和攻擊所需的托管服務(wù)進(jìn)行攻擊。

  MIRCBOOT和BulletProofLink上提供的其他網(wǎng)絡(luò)釣魚(yú)工具包允許網(wǎng)絡(luò)犯罪分子建立網(wǎng)站并購(gòu)買(mǎi)他們所需的域名來(lái)發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng),例如假裝成一家安全公司的員工,就像本案中一樣。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。