Eine unbekannte Hacking-Gruppe konnte Server infiltrieren, die von Samsung und der Universität Oxford verwendet werden. Anscheinend wurde das Eindringen durch einen sehr raffinierten Angriff auf Microsoft Office verursacht 365 von ihnen genutzte Dienste.
h2> Microsoft Office 365 Angriff zur Entführung von Servern der Universität Oxford und von Samsung
Eine erfahrene Hacking-Gruppe hat die Kontrolle über Server übernommen, die von Samsung und der Universität Oxford verwendet werden. Die kontaminierten Geräte sind für die von den Einrichtungen verwendeten E-Mail-Server und Domänenkontrollen verantwortlich. Die Angreifer verwenden Phishing-E-Mails um sich als Absender und Inhalte auszugeben, mit denen wahrscheinlich interagiert wird. In diesen Nachrichten gibt es Links zu a Büro 365 Voicemail welches Virusinhalte einschließt. Das Besondere an ihnen ist, dass sie möglicherweise sogar personalisierte Grüße enthalten. Diese Informationen können automatisch vom Hacking-Toolkit oder manuell von den Hackern ausgefüllt werden.
Was an den Infektionen gefährlicher ist, ist, dass die Kriminellen es tatsächlich geschafft haben, sie über die vom System der Universität Oxford betriebenen Server zu senden. Dies wurde von getan Umgehen des E-Mail-Sicherheitssystems des Unternehmens — Derzeit ist der genaue Mechanismus nicht bekannt.
Wenn Sie dem Link folgen, werden die Opfer zu a geleitet Samsung Domain welches von Adobe gehostet wird. Anscheinend ist geplant, es während des Cyber Monday zu verwenden 2018 Kampagne, ist aber ungenutzt geblieben. Sobald die Links befolgt werden, wird den Benutzern a angezeigt Login Landing Page was in der Tat den Service fälscht.
Der Hauptmechanismus des Angriffsszenarios besteht darin, die Opfer auf die von Hackern kontrollierte Phishing-Seite umzuleiten. Da dies über eine legitime Domäne erfolgt, wird dies als erweiterte Infektionsstrategie eingestuft. Anscheinend konnten die Hacker bestimmte URL-Parameter im bereitgestellten Link ändern, um die Opfer zur von Hackern kontrollierten Seite zu führen. Der eigentliche Adobe-Server, auf dem sich die Samsung-Site befindet, wurde nicht durchdrungen. Nach Erhalt der Nachricht von dem Vorfall Adobe arbeitet an Updates das sollte jeden ihrer betroffenen Kunden beheben.
Einer der Gründe für den Erfolg des Angriffs. Eine Code-Analyse dieser Seite zeigt, dass es einen Ausschnitt gibt, der prüft, ob der Link von der von Hackern kontrollierten Seite eingeht. Wenn auf die Site direkt oder über einen anderen Link zugegriffen wird, wird sie nicht ordnungsgemäß umgeleitet.
Sobald die Universität Oxford auf die Bedrohung aufmerksam gemacht wurde Alle von Hackern kontrollierten E-Mail-Nachrichten wurden gemildert. Da Adobe ihre Dienste gepatcht hat, werden die Samsung Problem sollte auch behoben werden. Es ist das Offensichtliche Fehlende Zwei-Faktor-Authentifizierung. Dies bedeutet, dass die Hacker, sobald sie Zugriff auf die internen Systeme von Samsung und der Universität Oxford erhalten, großen Schaden anrichten können. A zweite Weiterleitung Im Anschluss wird die entführte Zielseite erstellt, die zu a führt gehackte WordPress-Seite.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: