Een onbekende hackgroep heeft servers kunnen infiltreren die worden gebruikt door Samsung en de universiteit van Oxford. Blijkbaar is de inbreuk gemaakt door een zeer geavanceerde aanval op Microsoft Office uit te voeren 365 door hen gebruikte diensten.
h2> Microsoft Office 365 Aanval gebruikt om Oxford University en Samsung-servers te kapen
Een ervaren hackgroep heeft de controle over servers overgenomen die worden gebruikt door Samsung en Oxford University. De besmette apparaten zijn verantwoordelijk voor de e-mailservers en domeincontroles die door de instellingen worden gebruikt. De aanvallers gebruiken phishing e-mailberichten om zich voor te doen als afzenders en inhoud waarmee waarschijnlijk interactie zal zijn. In deze berichten staan links naar a Office 365 Voicemail die virusinhoud zal bevatten. Wat hen onderscheidt, is dat ze zelfs persoonlijke begroetingen kunnen bevatten. Deze informatie kan automatisch worden ingevuld door de hacktoolkit of handmatig door de hackers.
Wat nog gevaarlijker is aan de infecties, is dat de criminelen erin zijn geslaagd ze daadwerkelijk door de servers van het Oxford University-systeem te sturen. Dit is gedaan door omzeilen van het zakelijke e-mailbeveiligingssysteem — op dit moment is het exacte mechanisme niet bekend.
Door de link te volgen zullen de slachtoffers naar een Samsung-domein die wordt gehost door Adobe. Blijkbaar is het gepland om te worden gebruikt tijdens de Cyber Monday 2018 campagne, maar is ongebruikt gebleven. Zodra de links worden gevolgd, krijgen de gebruikers een te zien login bestemmingspagina wat in feite de service vervalst.
Het belangrijkste mechanisme van het aanvalsscenario is om de slachtoffers om te leiden naar de door hackers bestuurde phishing-pagina. Aangezien dit wordt gedaan via een legitiem domein, wordt dit gecategoriseerd als een geavanceerde infectiestrategie. Blijkbaar konden de hackers bepaalde URL-parameters in de verstrekte link wijzigen om de slachtoffers naar de door hackers gecontroleerde pagina te leiden. De daadwerkelijke Adobe-server die de Samsung-site host, is niet gepenetreerd. Bij ontvangst van nieuws over het incident Adobe werkt aan updates dat zou een van hun getroffen klanten moeten verhelpen.
Een van de redenen voor het succes van de aanval. Een code-analyse van deze pagina laat zien dat er een fragment is dat controleert of de link binnenkomt van de hacker-gecontroleerde pagina. Als de site rechtstreeks of via een andere link wordt geopend, wordt deze niet correct omgeleid.
Zodra de universiteit van Oxford op de hoogte werd gebracht van de dreiging die ze hadden verzachtte alle door hackers bestuurde e-mailberichten. Aangezien Adobe hun services heeft gepatcht, zijn de Samsung probleem moet ook worden gecorrigeerd. Het is duidelijk gebrek aan tweefactorauthenticatie. Dit betekent dat zodra de hackers toegang krijgen tot de interne systemen van Samsung en de Oxford University, ze veel schade kunnen aanrichten. Een tweede omleiding het volgen van de gekaapte bestemmingspagina wordt gemaakt die leidt tot een gehackte WordPress-pagina.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: