攻撃者は、Microsoft 365 を使用してより多くの政府の請負業者を犠牲にするために、フィッシング キャンペーンの資料を刷新します

悪意のあるアクターのグループが、大企業 (特にエネルギー、専門サービス、建設部門の企業) を騙して、フィッシング キャンペーンをレベルアップさせ、 Microsoft Officeの365 アカウント資格情報。 フィッシング検出および対応ソリューション会社のレポートによると コフェンセ、キャンペーンのオペレーターは、ルアー要素のプロセスと設計を改善し、現在、運輸省、商務省、労働省などの他の米国政府機関になりすましている.

「脅威アクターは、米国政府のいくつかの部門になりすました一連のキャンペーンを実行しています」と、Cofense 氏は述べています。 「電子メールは、政府プロジェクトへの入札を要求していると主張していますが、被害者を資格情報フィッシング ページに誘導しています。 これらのキャンペーンは、少なくとも 2019 年半ばから継続しており、2019 年 XNUMX 月にフラッシュ アラートで最初に取り上げられました。これらの高度なキャンペーンは巧妙に作成されており、安全な電子メール ゲートウェイ (SEG) によって保護された環境で見られ、非常に説得力があり、対象となります。 電子メールの内容、PDF の内容、クレデンシャル フィッシング ページの外観と動作を改善することで、時間の経過とともに進化してきました。」

Cofense は、攻撃者が使用している以前の資料と現在の資料を比較する一連のスクリーンショットを示しました。 これらの改善を最初に取得するのは電子メールと PDF で、現在はより信頼できるようにカスタマイズされています。 「初期の電子メールは、ロゴのない単純な電子メール本文で、比較的わかりやすい言葉でした」と、Cofense 氏は付け加えました。 「最近の電子メールは、ロゴ、署名ブロック、一貫したフォーマット、およびより詳細な指示を利用していました。 最近の電子メールには、PDF を直接添付するのではなく、PDF にアクセスするためのリンクも含まれています。」

一方で、攻撃者は、被害者の疑いを防ぐために、ログイン プロセスからデザイン、テーマに至るまで、クレデンシャル フィッシング ページにも変更を加えました。 ページの URL も意図的に長いものに変更されているため (例: transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com)、ターゲットは小さなブラウザーで .gov 部分のみを表示します。ウィンドウズ。 さらに、キャンペーンには、プロセスをより信頼できるものにするためのキャプチャ要件とその他の指示が含まれるようになりました。

このようなキャンペーンの改良により、攻撃者が元のソースからコピーされた最新の情報を使用しているため、ターゲットにとって、実際の Web サイトやドキュメントとなりすましの Web サイトやドキュメントを区別することがより難しくなっています。 それにもかかわらず、Cofense は、これらの行為の犠牲者になるのを防ぐ方法がまだあることを強調しました。 小さな詳細 (ページの間違った日付や疑わしい URL など) を見つけることは別として、すべての受信者は、電子メールに埋め込まれたリンクだけでなく、添付ファイルのリンクをクリックする際にも常に注意する必要があります。