One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8604382 |
| Date de publication | 2024-10-31 21:16:49 (vue: 2024-10-31 22:07:17) |
| Titre | La campagne soupçonnée de phishing de la RPDC cible Naver;Cluster d'usurpation de domaine Apple séparé identifié Suspected DPRK Phishing Campaign Targets Naver; Separate Apple Domain Spoofing Cluster Identified |
| Texte | #### Géolocations ciblées - Corée ## Instantané Les chercheurs de Hunt ont découvert une campagne de phishing présumée liée au nord-coréen ciblant Naver, une grande plate-forme technologique sud-coréenne. ## Description La campagne implique un répertoire ouvert contenant des pages de phishing qui semblent avoir été fabriqués pour voler les informations de connexion des utilisateurs de Naver.Le serveur de phishing héberge plus de 200 domaines, dont beaucoup utilisent des domaines de niveau supérieur peu communs en plus de .store, comme .cfd et .info.La plupart des domaines affichent un thème technique, incorporant des termes tels que "Online", "Server", "JSON", "Mail" et "Hosting".Les chercheurs de Hunt ont également trouvé un cluster d'infrastructure non apparenté utilisant des domaines et des certificats qui se font passer pour la pomme. Les chercheurs de Hunt rapportent que la campagne de phishing ciblant les utilisateurs de NAVER contient trois dossiers de changement de dossier, de cookie et de connexion qui s'aligne sur les modèles dans les campagnes de vol d'identification et avec des acteurs de menace comme Kimsuky (suivi par Microsoft comme [Emerald Sleet] (HTTPS://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e)).Les journaux IP suggèrent que l'acteur de menace suit activement les connexions entrantes, surveille potentiellement les chercheurs ou identifie les cibles futures.Les chercheurs ont également examiné l'histoire de la SSL.Ils ont constaté que les certificats TLS délivrés par Let \'s Encrypt, un service gratuit, ont souvent été modifiés tous les quelques jours. ## Recommandations Implémentez l'authentification multifactrice (MFA) pour atténuer le vol d'identification des attaques de phishing.Le MFA peut être complété par les solutions et les meilleures pratiques suivantes pour protéger les organisations: - Activer les politiques d'accès conditionnel.[Accès conditionnel] (https://learn.microsoft.com/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc) sont évalués et appliqués chaque fois qu'un attaquant tente d'utiliser un cookie de session volé.Les organisations peuvent se protéger contre les attaques qui exploitent les informations d'identification volées en activant des politiques concernant les appareils conformes ou les exigences d'adresse IP de confiance. - Configurer [Évaluation d'accès continu] (https: //Learn.microsoft.com/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=Magicti_TA_LearnDoc) Dans votre locataire. - Investir dans avancé unSolutions de phisces NTIP qui surveilleront les e-mails entrants et les sites Web visités.[Microsoft Defender for Office] (https://learn.microsoft.com/microsoft-365/security/defender/microsoft-365-security-center-mdo?ocid=Magicti_TA_LearnDoc) 365 rassemble des incidents et une gestion de l'alerte à travers l'e-mail, les dispositifset identités, centraliser les enquêtes pour les menaces par courrier électronique.Les organisations peuvent également tirer parti des navigateurs Web qui [identifient et bloquent automatiquement les sites Web malveillants] (https: //learn.microsoft.com/deployedge/microsoft-edge-security-smartScreen?ocid=Magicti_TA_LearnDoc), y compris ces États-UnisEd dans cette campagne de phishing.Pour renforcer la résilience contre les attaques de phishing en général, les organisations peuvent utiliser [des politiques anti-phishing] (https://docs.microsoft.com/microsoft-365/security/office-365-security/set-ul-anti-phishing-polices? View = O365-Worldwide) pour activer les paramètres d'intelligence de la boîte aux lettres, ainsi que la configuration des paramètres de protection d'identification pour des messages spécifiques et des domaines de l'expéditeur.Activer [SafeLinks] (https://docs.microsoft.com/microsoft-365/security/office-365-security/safe-links?view=o365-worldwide) garantit une protection en temps réel |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 200 2024 2024** 365 365/security/defender/microsoft 365/security/office access access/concept access/overview accessed across activate activating actively activities activity actor actors address advanced against agent alert alerts aligns all also anomalous anonymizer anti any appear apple are attacker attacks attempts authentication automatically available baseline been before behavior besides best block breach brings browser browsers build campaign campaigns can center centralizing certificates cfd change changed characteristics characteristics click cluster com/azure/active com/deployedge/microsoft com/en com/intel com/microsoft complemented compliant conditional configure configure connections containing contains content context continuous continuously contributes cookie copyright correlating crafted credential credentials days defaults defender delivery description detection determined devices directory directory/conditional directory/fundamentals/concept discovered display distribution domain domains dprk each edge email emails emerald enable enabling encrypt endpoints enforced ensures evaluated evaluation every example faster focused folders following found free from fundamentals future general geolocations have history hosting hosts https://docs https://hunt https://learn https://security hunt identified identifies identify identities identity impersonate impersonation implement implement improve incident incidents including incoming incorporating info information infrastructure intelligence internet invest investigate investigated investigations involves io/blog/dprk isp issued json key kimsuky korea korean learndoc let level leverage like linked links location login logs looked mail mailbox major malicious management many mdi mdo messages mfa microsoft mitigate monitor monitors most multifactor naver naver; north ocid=magicti office often one online open organizations organizations: other over pages part patterns permission phishing place platform policies posture potentially practices products profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e prohibited protect protection protection/microsoft provider providing real recommendations references regarding report reproduction requirements researchers reserved resilience rights safelinks scanning scope search security security/safe security/set security/virus sender separate server service services session set settings sign site sleet smartscreen smartscreen/ snapshothunt solutions solutions that south specific spoofing ssl steal stealing stolen store such suggest suspected suspicious system targeted targeting targets technical technology tenant terms than theft theme themselves thereof those threat threats three through time tls together top tracked tracks trusted uncommon unrelated urls us/windows/security/operating use used user users use use using view=o365 visited web websites well which within without with worldwide written your ensures to 365 as in policies |
| Tags | Threat Technical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.