Un gruppo di hacking sconosciuto è stato in grado di infiltrarsi nei server utilizzati da Samsung e dall'Università di Oxford. Apparentemente l'intrusione è stata fatta lanciando un attacco molto sofisticato a Microsoft Office 365 servizi usati da loro.
h2> Microsoft Office 365 Attacco utilizzato per dirottare l'Università di Oxford e i server Samsung
Un gruppo di hacker con esperienza ha superato il controllo dei server utilizzati da Samsung e Oxford University. I dispositivi contaminati sono responsabili dei server di posta elettronica e dei controlli di dominio utilizzati dagli stabilimenti. Gli aggressori stanno usando i messaggi di posta elettronica di phishing al fine di impersonare mittenti e contenuti che saranno probabilmente interagiti con. In questi messaggi ci sono collegamenti a Ufficio 365 Segreteria telefonica che includerà i contenuti dei virus. Ciò che li distingue è che possono anche includere saluti personalizzati. Queste informazioni possono essere compilate automaticamente dal toolkit di hacking o manualmente dagli hacker.
La cosa più pericolosa delle infezioni è che i criminali sono riusciti a inviarli attraverso i server gestiti dal sistema dell'Università di Oxford. Questo è stato fatto da aggirando il sistema di sicurezza della posta elettronica aziendale — al momento non si conosce l'esatto meccanismo.
Seguendo il link indirizzerà le vittime a Dominio Samsung che è ospitato da Adobe. Apparentemente è stato progettato per essere utilizzato durante il Cyber Monday 2018 campagna, ma è rimasto inutilizzato. Non appena i collegamenti vengono seguiti, agli utenti verrà mostrato a pagina di destinazione di accesso che in realtà sta falsificando il servizio.
Il meccanismo principale dello scenario di attacco è reindirizzare le vittime alla pagina di phishing controllata dagli hacker. Poiché ciò avviene tramite un dominio legittimo, viene classificato come una strategia di infezione avanzata. Apparentemente gli hacker sono stati in grado di modificare alcuni parametri URL nel link fornito per condurre le vittime alla pagina controllata dagli hacker. L'attuale server Adobe che ospita il sito Samsung non è stato penetrato. Dopo aver ricevuto la notizia dell'incidente Adobe sta lavorando agli aggiornamenti che dovrebbe porre rimedio a tutti i loro clienti interessati.
Uno dei motivi del successo dell'attacco. Un'analisi del codice di questa pagina mostra che esiste uno snippet che controlla se il link è in arrivo dalla pagina controllata dall'hacker. Se si accede direttamente al sito o tramite un altro collegamento, non verrà reindirizzato correttamente.
Non appena l'Università di Oxford venne a conoscenza della minaccia che avevano mitigato tutti i messaggi di posta elettronica controllati dagli hacker. Come Adobe ha patchato i loro servizi il Samsung anche il problema dovrebbe essere corretto. È l'apparente mancanza di autenticazione a due fattori. Ciò significa che una volta che gli hacker hanno accesso ai sistemi interni che appartengono a Samsung e all'Università di Oxford, possono causare molti danni. La secondo reindirizzamento in seguito alla pagina di destinazione dirottata verrà effettuata che porta a pagina WordPress compromessa.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: