首頁 > 安全研究 > 安全通報 > 安全通告

PerSwaysion | office 365釣魚攻擊事件通告

發布時間 2020-05-01

0x00 事件概述


近日,新加坡網絡安全公司IB集團發現了一個新的網絡釣魚活動,名為PerSwaysion,此次攻擊活動利用Microsoft的文件共享服務,已經成功對全球多家公司的150多位管理層員工發起了網絡釣魚攻擊,主要涉及的是金融、法律和房地產領域的企業。


0x01 事件詳情


此次攻擊是由越南的黑客組織發起的,從2019年年中開始進行,因利用了Microsoft Sway而被稱為PerSwaysion。該黑客組織首先向受害者發送一封釣魚郵件,該郵件中插入了偽造的Office 365文件共享的通知,以增加其真實性,還包括一個“立即閱讀”的鏈接。當受害者點擊鏈接后,受害者便被重定向到了托管在Microsoft Sway平臺上的文件。該頁面會告訴受害者發件人已經代表公司共享了一個文檔,并要求其點擊鏈接閱讀。之后,該鏈接將受害者重定向到最后的網絡釣魚登錄頁面,該頁面看起來是Outlook的Microsoft單一登錄(SSO)頁面,并要求受害者輸入其憑證,以實施盜竊。黑客一旦盜竊成功,便會使用IMAP API從服務器下載受害者的電子郵件中的數據,然后冒充其身份與其他人通信。最后,它們還會使用受害者的姓名、電子郵件地址和公司名稱來生成新的釣魚郵件,對下一個受害者發起攻擊。而且,該團伙還會在攻擊結束后從受害者的發件箱中刪除偽造的釣魚郵件,以免引起懷疑。


目前,該事件已經成功地攻擊了德國、英國、荷蘭、香港和新加坡的多家公司的至少156位高級官員的公司電子郵件帳戶,主要針對的是金融服務公司(約50%),律師事務所和房地產公司。


Group-IB建立了一個在線網頁,用戶可以通過該網頁檢查其電子郵件地址是否為PerSwaysion攻擊一部分。



Group-IBDFIR團隊被邀請檢查一家亞洲公司的事件,該公司確定PerSwaysion是復雜的三相網絡釣魚操作,它使用特殊的策略和技術來避免被發現。威脅參與者通過“說服”擔任重要公司職位的人員打開來自其聯系人真實地址的非惡意PDF電子郵件附件,從而充分利用了精心設計的社會工程技術。



PDF附件是對Office 365文件共享的精心設計的通知,模仿了合法格式的受害者。單擊“立即閱讀”后,在這種情況下,受害者(大多數情況下是高級官員)被帶到MS Sway上托管的文件中。攻擊者選擇合法的基于云的內容共享服務,例如Microsoft Sway,Microsoft SharePoint和OneNote,以避免流量檢測。該頁面類似于真實的Microsoft Office 365文件共享頁面。但是,這是一個特制的演示文稿頁面,它濫用了Sway默認的無邊界視圖。



從此頁面將目標個人重定向到最終目標,即實際的網絡釣魚站點,其偽裝為Microsoft Single Sign-On頁面的2017年版本。此處,網絡釣魚工具為受害者分配了唯一的序列號,該序列號是基本的指紋識別技術。重復請求完全相同的URL將被拒絕。它停止對目標訪問的URL的任何自動威脅檢測工作。當高級員工提交公司Office 365憑據時,該信息將通過隱藏在頁面上的額外電子郵件地址發送到單獨的數據服務器。這封多余的電子郵件用作實時通知方法,以確保攻擊者對新近收獲的憑證做出反應。


0x02 參考鏈接


https://securityaffairs.co/wordpress/102539/hacking/perswaysion-sophisticated-phishing-campaign.html

https://threatpost.com/microsoft-sway-abused-office-365-phishing-attack/155366/

https://thehackernews.com/2020/04/targeted-phishing-attacks-successfully.html


0x03 時間線


2020-05-01  VSRC發布事件通告



上一篇 下一篇