مهاجمان با جعل هویت کارکنان IT، لینکهای جعلی برای سرقت اطلاعات ورود و کدهای MFA ارسال میکنند تا به دادههای حساس و مکاتبات داخلی سازمانها دسترسی پیدا کنند.
۰
منبع : the hacker news
به گزارش افتانا، شرکت ماندیانت، زیرمجموعه گوگل، اعلام کرده است که موج تازهای از حملات سایبری را شناسایی کرده که از نظر شیوه اجرا شباهت زیادی به حملات اخاذی منتسب به گروه هکری ShinyHunters دارد. این حملات با تکیه بر مهندسی اجتماعی پیشرفته، بهویژه ویشینگ، انجام میشوند و هدف اصلی آنها سرقت اطلاعات ورود یکپارچه و کدهای احراز هویت چندمرحلهای کارکنان سازمانها برای نفوذ به سرویسهای ابری مبتنی بر SaaS است.
بر اساس گزارش ماندیانت، مهاجمان در تماسهای تلفنی، خود را بهعنوان کارکنان واحد فناوری اطلاعات معرفی کرده و قربانیان را متقاعد میکنند که برای بهروزرسانی یا رفع مشکل در تنظیمات MFA، روی لینکهایی کلیک کنند که به وبسایتهای جعلی اما بسیار مشابه با صفحات رسمی شرکتها هدایت میشود. پس از وارد کردن اطلاعات، مهاجمان از اعتبارنامههای سرقتشده برای ثبت دستگاههای جدید احراز هویت و دسترسی کامل به محیطهای سازمانی استفاده میکنند. هدف نهایی این نفوذها، دسترسی به دادههای حساس، مکاتبات داخلی و درنهایت اخاذی از قربانیان است.
تیم اطلاعات تهدید ماندیانت، این فعالیتها را تحت چند ئسته مختلف از جمله UNC6661، UNC6671 و UNC6240 که با نام ShinyHunters نیز شناخته میشود، ردیابی میکند. این نامگذاری چندگانه نشان میدهد که یا بازیگران مختلفی با روشهای مشابه در حال فعالیت هستند یا اینکه این گروهها بهتدریج در حال تغییر تاکتیکها و ساختار عملیاتی خود هستند. طبق این گزارش، دامنه پلتفرمهای ابری هدفگرفتهشده در این حملات رو به گسترش است و مهاجمان بهدنبال دستیابی به دادههای حساستر برای افزایش فشار در مرحله اخاذی هستند. در برخی موارد، حتی گزارشهایی از آزار و تهدید مستقیم کارکنان سازمانهای قربانی نیز ثبت شده است.
در بررسی جزئیات فنی این حملات، مشخص شده که یکی از این دستهها پس از سرقت اطلاعات ورود، از دسترسی به ایمیلهای سازمانی برای ارسال پیامهای فیشینگ جدید به شرکتهای فعال در حوزه رمزارز استفاده کرده و سپس ایمیلها را برای پنهانسازی ردپا حذف کرده است. در موارد دیگر، مهاجمان موفق به دسترسی به حسابهای Okta شده و با استفاده از ابزارهایی مانند PowerShell، دادههای حساس را از سرویسهایی نظیر SharePoint و OneDrive استخراج کردهاند. تفاوت در زیرساختها و دامنههای مورد استفاده در این حملات نشان میدهد که احتمالاً افراد یا تیمهای متفاوتی در این عملیاتها نقش دارند و با یک گروه کاملاً متمرکز مواجه نیستیم.
گوگل در واکنش به این تهدیدات تأکید کرده است که این حملات ناشی از آسیبپذیری فنی در محصولات یا زیرساختهای ارائهدهندگان سرویس نیست، بلکه بار دیگر اثربخشی بالای مهندسی اجتماعی را نشان میدهد. به همین دلیل، این شرکت به سازمانها توصیه میکند فرایندهای احراز هویت و پشتیبانی خود را بازبینی کرده و تا حد امکان به سمت استفاده از روشهای احراز هویت مقاوم در برابر فیشینگ، مانند کلیدهای امنیتی FIDO2 و Passkey، حرکت کنند. به گفته گوگل، روشهایی مانند پیامک، تماس تلفنی یا اعلانهای ساده MFA همچنان در برابر حملات ویشینگ آسیبپذیر هستند و نیاز به بازنگری جدی دارند.
کد مطلب : 23481
https://aftana.ir/vdchzkni.23nx6dftt2.htmlaftana.ir/vdchzkni.23nx6dftt2.html
تگ ها
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵