One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8478123 |
| Date de publication | 2024-04-08 16:24:08 (vue: 2024-04-08 14:08:47) |
| Titre | Évolution du paysage des menaces: une plongée profonde dans les attaques multicanaux ciblant les détaillants Evolving Threat Landscape: A Deep Dive into Multichannel Attacks Targeting Retailers |
| Texte | Les acteurs de la menace ne fonctionnent plus dans les silos.Aujourd'hui, ils utilisent plusieurs canaux tels que SMS, e-mail, fausses pages Web et comptes cloud compromis.Ils utilisent ces différents canaux pour établir la persistance et compromettre les identités afin qu'ils puissent augmenter les privilèges et se déplacer latéralement. ProofPoint Research Threat a récemment observé des campagnes dans lesquelles les acteurs de la menace ont utilisé des attaques multicanaux pour cibler l'industrie du commerce de détail.La chaîne d'attaque et la chronologie montrent comment les acteurs de la menace (TA) passent d'une organisation ciblée à l'autre.Chaque fois que leur accès non autorisé est révoqué ou épuisé, les attaquants passent à la prochaine cible. La chaîne d'attaque multicanal qui cible les détaillants mondiaux. Dans nos recherches, ces campagnes commencent par une attaque de smims.Une attaque de smims, également connue sous le nom de phishing SMS, utilise des SMS pour inciter les destinataires à faire ce que l'attaquant veut qu'ils fassent.Cela pourrait fournir leurs informations personnelles ou financières, en cliquant sur des liens malveillants ou en téléchargeant des applications logicielles nocives.Les messages de smirs utilisent des thèmes de billets de support courts pour attirer les victimes des sites de phishing de l'acteur de menace. Exemples de messages de phishing SMS avec des thèmes de billets de support. Dans la campagne que nous avons observée, l'AT a utilisé une page de phishing Microsoft personnalisée qui comprenait la marque de l'organisation ciblée \\.Cette page a conduit les utilisateurs via le flux d'autorisation MFA pour collecter leurs informations d'identification. Exemple de page Microsoft Phish personnalisée avec la marque Target Organisation \\. Une fois que l'AT a capturé les informations d'identification, ils ont compromis les comptes d'utilisateurs.Takever post-compte (ATO), les attaquants ont utilisé plusieurs méthodes pour maintenir un accès persistant et masquer leurs activités non autorisées.Ceux-ci inclus: Manipulation MFA.Les attaquants ont utilisé des comptes détournés pour enregistrer leurs propres méthodes MFA. Inscription de nouveaux appareils via des applications Microsoft natives (telles que l'inscription Intune).Cela a aidé les attaquants à cacher leurs activités non autorisées et à accéder à certaines ressources. Utilisation malveillante du VPN d'entreprise.Le TA a utilisé les produits VPN et ZTNA de la victime et plusieurs de leurs propres clients VPN pour accéder à des ressources telles que les produits de sécurité et les environnements de production. Les attaquants ont eu accès au portail SSO de l'organisation, qui à son tour a donné accès à de nombreux autres services internes et applications tierces (3PA).Les attaquants ont énuméré toutes les applications connectées au PDI et ont tenté de trouver des liens API qu'ils pourraient abuser.Ensuite, ils sont entrés dans une application commerciale spécifique pour créer des cartes-cadeaux contrefaits. Attribution L'acteur de menace de cette attaque est appelé "atlas lion" qui a des zones potentielles de chevauchement avec l'acteur Microsoft Tracks sous le nom de Storm-0539.Cet acteur de menace est «connu pour cibler les organisations de vente au détail pour la fraude et le vol de cartes-cadeaux en utilisant des e-mails et un phishing SMS très sophistiqués pendant la saison des achats des fêtes».Bien que ces attaques ne soient pas originaires de courriels, leur chevauchement dans les TTP (tactiques, techniques et procédures) nous amène à croire que l'ensemble d'activités peut s'aligner sur l'acteur de menace que nous suivons en tant que TA4901.Cet TA cible les sociétés dans les secteurs de télécommunications et de vente au détail depuis au moins 2018. Le pouvoir des idées de bout en bout Ce qui fait que Proofpoint se démarque des autres fournisseurs de sécurité, c'est que nous avons des informations de bout en bout sur |
| Envoyé | Oui |
| Condensat | 000 0539 2018 3pa 500 about abuse access account accounts across actions activities activity actor actors adding advantage ahead align all allows also although any api application applications apps are areas assets atlas ato attack attacker attackers attacks attribution authenticated authorization based been begin being believe branding business campaign campaigns can capability captured card cards certain chain challenging channels clicking clients cloud cloudmark collect combine committed companies competitors compromise compromised connected connections constantly corporate could counterfeit create credentials customers customized deep defenses deploy devices did dive doing downloading during each elevate email end enough enrollment enterprise enumerated enumerating environment environments establish evolve evolving example examples exhausted factors fake financial find flag flow fraud frequently from gain gained gift gives global good group harmful has have helped here hide highly hijacked holiday how idea identify identities idp include: included including industries industry information insights internal intune know known landscape landscape: laterally leads learn least led like limit links lion longer lure maintain make makes malicious managed manipulation may means messages messaging methods mfa microsoft might mobile more move multichannel multiple must native need new next not notified notify numerous observed once one only operate operators organization organization: organizations originate other out over overlap own page pages party patterns persistence persistent personal phish phishing place portal possible post potential potentially power privileges procedures production products proofpoint protect provided providers providing quickly readily recently recipients referred register research resources retail retailers revoked roughly season sectors security see services set several shifts shopping short should show significant silos since sites smbs smishing sms software soon sophisticated specific sso stand stay step storm such support sure systems ta4901 tactics takeover target targeted targeting targets teams techniques telecommunications text than thanks theft them themes then these third threat threats through ticket time timeline tips today tools track tracking tracks train trick tried ttps turn unauthorized unmanaged use used user users uses using various victim victims visibility vpn wants ways web went what when wherever which works your ztna “known |
| Tags | Tool Threat Mobile Cloud |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.