En ukendt hackinggruppe har været i stand til at infiltrere servere, der bruges af Samsung og Oxford University. Tilsyneladende blev indtrængen foretaget ved at iværksætte et meget sofistikeret angreb på Microsoft Office 365 tjenester brugt af dem.
h2> Microsoft Office 365 Angreb brugt til at kapre Oxford University og Samsung-servere
En erfaren hacking-gruppe har overhalet kontrollen over servere, der bruges af Samsung og Oxford University. De forurenede enheder er ansvarlige for e-mailserverne og domænekontrollerne, der bruges af virksomhederne. Angriberne bruger phishing e-mails for at efterligne afsendere og indhold, der sandsynligvis vil blive interageret med. I disse meddelelser er der links til a Kontor 365 Voicemail som vil indeholde virusindhold. Det, der er karakteristisk ved dem, er, at de endda kan omfatte personlige hilsener. Disse oplysninger kan automatisk udfyldes af hackingværktøjssæt eller manuelt af hackere.
Hvad der er mere farligt ved infektioner er, at de kriminelle faktisk har formået at sende dem selvom serverne, der drives af Oxford University-systemet. Dette er gjort af omgå virksomhedens e-mail-sikkerhedssystem — i øjeblikket er den nøjagtige mekanisme ikke kendt.
Ved at følge linket vil ofrene henvise til en Samsung domæne som er vært hos Adobe. Tilsyneladende er det planlagt at blive brugt under Cyber Mandag 2018 kampagne, men har været ubrugt. Så snart linkene følges, vises brugerne a login destinationsside hvilket faktisk forfalsker tjenesten.
Hovedmekanismen i angrebsscenariet er at omdirigere ofrene til den hackerstyrede phishing-side. Da dette gøres via et legitimt domæne, kategoriseres dette som en avanceret infektionsstrategi. Tilsyneladende var hackerne i stand til at ændre bestemte URL-parametre i det angivne link for at føre ofrene til den hackerstyrede side. Den faktiske Adobe-server, der er vært for Samsung-webstedet, er ikke blevet gennemtrængt. Efter at have modtaget nyheder om hændelsen Adobe arbejder på opdateringer der skulle afhjælpe nogen af deres påvirkede klienter.
En af grundene til angrebets succes. En kodeanalyse af denne side viser, at der er et kodestykke, der kontrollerer, om linket kommer ind fra den hacker-kontrollerede side. Hvis der åbnes direkte til webstedet eller via et andet link, omdirigeres det ikke korrekt.
Så snart Oxford University blev gjort opmærksom på den trussel, de var afbød alle de hacker-kontrollerede e-mail-meddelelser. Da Adobe har lappet deres tjenester Samsung problemet bør også rettes. Det er det åbenlyse mangel på tofaktorautentisering. Dette betyder, at når hackerne først får adgang til de interne systemer, der tilhører Samsung og Oxford University, kan de forårsage en masse skade. A anden omdirigering efter at den kaprede destinationsside bliver lavet, der fører til en hacket WordPress-side.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: