新研究称,黑客正在通过有针对性的网络钓鱼和云帐户接管攻击来攻击包括高级管理人员在内的高级专业人士。
Proofpoint的一份报告概述了自2023年11月下旬以来危害MicrosoftAzure环境和云帐户的新活动。
未透露姓名的威胁行为者被发现在共享文档中分发个性化的网络钓鱼诱饵。研究人员表示,其中一些文档包含“查看文档”的嵌入链接,这些链接只会将受害者重定向到恶意网络钓鱼页面,该页面会窃取人们的登录凭据。
窃取数据并掩盖他们的踪迹
虽然黑客似乎正在撒一个相对广泛的网,但他们仍在攻击经理和最高管理层,经常的目标是销售总监、客户经理和财务经理,以及担任“运营副总裁”等高管职位的个人”、“首席财务官兼财务主管”和“总裁兼首席执行官”。
如果他们成功地破坏了目标的云环境,黑客就会做很多事情,从设置自己的多因素身份验证、维护持久性到数据泄露。在某些情况下,他们还利用职务之便,通过向人力资源和财务部门发送付款请求,参与商业电子邮件泄露(BEC)并进行电汇欺诈。
最后,他们设置不同的邮箱规则来掩盖他们的踪迹并从目标网络中删除他们存在的任何证据。
虽然黑客的基础设施包括“多个代理、数据托管服务和被劫持的域名”,但他们还使用本地固网ISP,这让研究人员能够了解他们的位置。其中一些非代理来源包括总部位于俄罗斯的“SelenaTelecomLLC”以及尼日利亚提供商“AirtelNetworksLimited”和“MTN尼日利亚通信有限公司”,这使得Proofpoint推测攻击者可能来自俄罗斯和尼日利亚。