Un groupe de piratage inconnu a pu infiltrer des serveurs utilisés par Samsung et l'Université d'Oxford. Apparemment, l'intrusion a été faite en lançant une attaque très sophistiquée sur Microsoft Office 365 services utilisés par eux.
h2> Microsoft Office 365 Attaque utilisée pour détourner l'Université d'Oxford et les serveurs Samsung
Un groupe de piratage expérimenté a pris le contrôle des serveurs utilisés par Samsung et l'Université d'Oxford. Les appareils contaminés sont responsables des serveurs de messagerie et des contrôles de domaine utilisés par les établissements. Les attaquants utilisent messages électroniques phishing afin d'usurper l'identité des expéditeurs et des contenus qui seront probablement interagis avec. Dans ces messages, il y a des liens vers un Bureau 365 Messagerie vocale qui comprendra le contenu du virus. Ce qui les distingue, c'est qu'ils peuvent même inclure des salutations personnalisées. Ces informations peuvent être remplies automatiquement par la boîte à outils de piratage ou manuellement par les pirates.
Ce qui est plus dangereux à propos des infections, c'est que les criminels ont réussi à les envoyer via les serveurs exploités par le système de l'Université d'Oxford. Cela a été fait par contournement du système de sécurité de messagerie d'entreprise — au moment où le mécanisme exact n'est pas connu.
En suivant le lien, les victimes seront dirigées vers un Domaine Samsung hébergé par Adobe. Apparemment, il devrait être utilisé pendant le Cyber Monday 2018 campagne, mais est resté inutilisé. Dès que les liens seront suivis, les utilisateurs recevront un page de destination de connexion qui en fait usurpe le service.
Le principal mécanisme du scénario d'attaque est de rediriger les victimes vers la page de phishing contrôlée par les pirates. Comme cela se fait via un domaine légitime, cela est classé comme une stratégie d'infection avancée. Apparemment, les pirates ont pu modifier certains paramètres d'URL dans le lien fourni pour diriger les victimes vers la page contrôlée par les pirates. Le serveur Adobe réel qui héberge le site Samsung n'a pas été pénétré. À la réception des nouvelles de l'incident Adobe travaille sur des mises à jour qui devrait remédier à tous leurs clients touchés.
L’une des raisons du succès de l’attaque. Une analyse de code de cette page montre qu'il existe un extrait qui vérifie si le lien arrive de la page contrôlée par les pirates. Si le site est accessible directement ou via un autre lien, il ne redirigera pas correctement.
Dès que l’Université d’Oxford a été mise au courant de la menace qu’elle atténué tous les e-mails contrôlés par des pirates. Comme Adobe a corrigé leurs services, Samsung le problème doit également être corrigé. C'est l'apparente manque d'authentification à deux facteurs. Cela signifie qu'une fois que les pirates ont accédé aux systèmes internes appartenant à Samsung et à l'Université d'Oxford, ils peuvent causer beaucoup de dégâts.. Une deuxième redirection suivant la page de destination détournée sera effectuée, ce qui conduit à un page WordPress piratée.