Russisk phishing-kampanje som bruker AWS til å være vert for destinasjonssider designet for å unngå oppdagelse

Hvordan cybersecurity utvikler seg for å bekjempe russiske hackere Leo Taddeo, sjef for informasjonssikkerhetsansvarlig ved Cyxtera Technologies, diskuterer phishing og Russlands engasjement i det amerikanske presidentvalget 2016 med CNETs Dan Patterson.

En phishing-kampanje som utgir seg for elektronisk signaturtjeneste DocuSign, filtjeneste ShareFile og Microsoft Office, som delvis ble arrangert på Amazon Web Services (AWS), ble oppdaget av Proofpoint, ifølge et blogginnlegg publisert av selskapet torsdag.

Mens forbruksmålrettede lagringstjenester som Google Drive og Dropbox ofte har blitt brukt ofte av trusselaktører, er bruken av offentlige skytjenester som AWS og Microsoft Azure "relativt uvanlig, " bemerket Proofpoint. For ikke-AWS-komponenter i kampanjen ble domener mest registrert gjennom russiske domeneregistreringstjenester, med krypteringssertifikater levert av Let's Encrypt.

Spesiell funksjon: Administrere multicloud (gratis PDF)

Disse phishing-kampanjene bruker utstrakt fordypning for å unngå deteksjon, og Proofpoint legger merke til at "Amazon selv ser ut til å være lydhør og spesielt årvåken når det gjelder å ta ned overgrepskontoer som er vert for denne typen materiale, " og legger til at IT-sikkerhetsfagfolk "bør være klar over potensielt skadelig innhold på websider som er vert på AWS S3 skylagring. "

Landingssidene som ble observert bruker matriser av sekskantkodede strenger, som ifølge Proofpoint "når de er dekodet, ser ut til å omfatte noen kodetekst så vel som noen få strenger, og deretter en evaluering for å dekode den kodede klossen." Koding og variabelnavn har blitt observert endret på tvers av distribusjoner, noe som ytterligere frustrerende forsøk på programmatisk deteksjon av phishing-sett.

Rapporten gir visualiseringer av de forskjellige lagene med tilsløring brukt av phishers.

Bruk av offentlige skyplattformer for phishing-kampanjer er ikke akkurat ny, selv om det er et stadig mer attraktivt alternativ - fordelene med cloud computing tilbyr bedriften er like gjeldende for nettkriminelle. I desember 2018 indikerte en Menlo Security-rapport at angripere brukte Google Cloud Platform for phishing-kampanjer, mens en rapport fra Netskope fra januar 2019 fant at Google App Engine ble brukt til en skadelig kampanje.

For mer om sikkerhet, sjekk ut "Virksomheter trenger å lappe for BlueKeep for å unngå et annet WannaCry" og "SanDisks SSD Dashboard bruker hardkodet passord, mangler krypterte oppdateringer" på TechRepublic.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com