تم تسليط الضوء على حملة التصيد EvilProxy التي تستهدف مستخدمي Microsoft 365 وتركز على كبار المسؤولين التنفيذيين من قبل BTW Media لأن الأدلة المنشورة تربطها بالبنية التحتية للإنترنت أو الحوكمة أو التبعيات التشغيلية أو رؤية السوق.
تُتتبع حملة التصيد EvilProxy التي تستهدف مستخدمي Microsoft 365 وتركز على كبار المسؤولين التنفيذيين كمؤسسة بنية تحتية للإنترنت ضمن النظام البيئي للبنية التحتية للإنترنت.
عدة مصادر عامة
حملة تصيد تستهدف كبار المسؤولين التنفيذيين. هذا التهديد المتطور موجود منذ فترة ويعود ليزيد من عدد الضحايا. اكتشف كيف يعمل.
حملة تصيد EvilProxy تستهدف مستخدمي Microsoft 365 وتركز على كبار المسؤولين التنفيذيين
أصبحت منصة التصيد EvilProxy تهديدًا قويًا، تستهدف بنجاح الحسابات المحمية بـ MFA وتثير قلق خبراء الأمن السيبراني. تم إرسال أكثر من 120,000 بريد إلكتروني تصيدي إلى أكثر من مائة منظمة، بهدف اختراق حسابات Microsoft 365.
كبار المسؤولين التنفيذيين المستهدفين
هذا الاتجاه المتزايد لعمليات الاستيلاء الناجحة على الحسابات السحابية أثر بشكل خاص على كبار المسؤولين. تجمع حملة EvilProxy بين انتحال العلامة التجارية، وتكتيكات التهرب من اكتشاف البوتات، واستخدام عمليات إعادة التوجيه المفتوحة.
يستخدم EvilProxy نموذج التصيد كخدمة (PHaaS)، مستخدمًا الوكلاء العكسيين للتلاعب بطلبات المصادقة وبيانات اعتماد المستخدمين. يعترض الخادم الضار نموذج تسجيل الدخول الشرعي، مما يسمح بسرقة ملفات تعريف الارتباط للمصادقة عند تسجيل دخول المستخدم. علاوة على ذلك، نظرًا لأن المستخدمين قد أكملوا بالفعل تحديات MFA أثناء تسجيل الدخول، فإن ملف تعريف الارتباط المسروق يسمح للمخترقين بتجاوز المصادقة متعددة العوامل.
مشكلة قديمة
تم تسليط الضوء على قدرات EvilProxy في تقرير من Resecurity في سبتمبر 2022، والذي كشف عن توفره مقابل 400 دولار شهريًا لمجرمي الإنترنت، ووعد بالوصول إلى مجموعة من الحسابات الهامة، بما في ذلك حسابات Apple وGoogle وFacebook وMicrosoft وTwitter وGitHub وGoDaddy وPyPI.
تم استغلال EvilProxy لإرسال رسائل بريد إلكتروني تقلد علامات تجارية معروفة مثل Adobe وDocuSign وConcur. بمجرد أن يتفاعل الضحايا مع الروابط المضمنة، يمرون عبر مسار متعرج من عمليات إعادة التوجيه المفتوحة عبر منصات مثل YouTube أو SlickDeals. هذا المسار مصمم لتقليل فرص الكشف.
في النهاية، يهبط الضحايا على صفحة تصيد يديرها EvilProxy. هذه الصفحة تحاكي بذكاء واجهة تسجيل الدخول لـ Microsoft 365، وغالبًا ما تدمج سمة مؤسسة الضحية لإضفاء مظهر من الأصالة.
للهروب من أدوات المسح التلقائي، يقوم المهاجمون بتشفير عناوين البريد الإلكتروني للمستخدمين واستغلال مواقع ويب شرعية مخترقة لفك تشفير عناوين البريد الإلكتروني.
من المثير للاهتمام أن الحملة أظهرت تفضيلًا لاستهداف عناوين IP التركية، مما يشير إلى قاعدة عمليات محتملة في تركيا. علاوة على ذلك، أظهر المهاجمون انتقائية في اختيار الأهداف لمرحلة الاستيلاء على الحسابات، مفضلين الشخصيات "VIP" مع تجاهل الأشخاص ذوي المستوى الأدنى. من بين الحسابات المخترقة، كان 39٪ لكبار المسؤولين التنفيذيين، و9٪ للرؤساء التنفيذيين ونواب الرئيس، و17٪ للمديرين الماليين.
قد تكون هناك حاجة إلى أمان قائم على الأجهزة
بمجرد اختراق حساب Microsoft 365، يقوم الجهات الضارة بإدخال طريقة المصادقة متعددة العوامل الخاصة بهم لضمان استمراريتهم. يمثل صعود مجموعات التصيد بالوكيل العكسي، والتي يعتبر EvilProxy مثالًا بارزًا عليها، تحديًا متزايدًا. هذه التهديدات قادرة على تنفيذ حملات تصيد واسعة النطاق وعالية الجودة تخترق بروتوكولات الأمان.
تشمل الإجراءات المضادة لـ EvilProxy زيادة الوعي الأمني، وقواعد تصفية البريد الإلكتروني الصارمة، واعتماد المفاتيح الفعلية القائمة على FIDO.
لتعزيز الحسابات بشكل أكبر، يوصى باعتماد مفاتيح أمان مادية. هذا النهج، الذي اعتمدته Discord مؤخرًا، يؤكد على أهمية آليات الدفاع القوية ضد تكتيكات التصيد المتطورة باستمرار.حملة تصيد EvilProxy تستهدف مستخدمي Microsoft 365 وتركز على كبار المسؤولين التنفيذيين
موجز الإشارة
- إشارة: حملة تصيد EvilProxy تستهدف مستخدمي Microsoft 365 وتركز على كبار المسؤولين التنفيذيين
- المنطقة:
- فئة السوق: اتجاهات الخدمات السحابية العالمية
البصمة التشغيلية
- يجب أن تحدد المصادر المنشورة الأطراف المتأثرة، ونطاق التشغيل، والتعرض للسوق قبل اعتبار خريطة الاتجاه هذه مكتملة.
سياق السوق
- الأهمية التشغيلية: متوسط
- الأفق الزمني: الربع القادم
ما الذي تشاهده
- راقب البيانات الرسمية، التحديثات التنظيمية، تعرض العملاء أو الشركاء، والإفصاحات المتابعة.
إحاطة الأعضاء
السياق الأعمق للاتجاهات
سجّل الدخول بمستوى العضوية المناسب لفتح الإحاطة الكاملة وملاحظات المصادر.
مخصص لـ Strategic Circle
Strategic Circle
مفتوح لجميع القراء. افتح إحاطات الاتجاهات بعد الانضمام وتسجيل الدخول.
انضم إلى Strategic Circleفقط لـ Leadership Alliance
Leadership Alliance
للمشغلين والمستثمرين وفرق السياسات الذين يحتاجون إلى أدلة العلاقات ومسارات الفشل وملاحظات المصادر. سجل الدخول لفتح.
انضم إلى Leadership Alliance
