首页 > 安全钻研 > 安全传递 > 安全公告

PerSwaysion | office 365垂钓攻击事务公告

颁布功夫 2020-05-01

0x00 事务概述

近日，，，，，新加坡网络安全公司IB集团发现了一个新的网络垂钓活动，，，，，名为PerSwaysion，，，，，这次攻击活动利用Microsoft的文件共享服务，，，，，已经成功对全球多家公司的150多位治理层员工提议了网络垂钓攻击，，，，，重要涉及的是金融、司法和房地产领域的企业。。。。。。。

0x01 事务详情

这次攻击是由越南的黑客组织提议的，，，，，从2019年年中起头进行，，，，，因利用了Microsoft Sway而被称为PerSwaysion。。。。。。。该黑客组织首先向受害者发送一封垂钓邮件，，，，，该邮件中插入了伪造的Office 365文件共享的通知，，，，，以增长其真实性，，，，，还蕴含一个“立即阅读”的链接。。。。。。。当受害者点击链接后，，，，，受害者便被沉定向到了托管在Microsoft Sway平台上的文件。。。。。。。该页面会通知受害者发件人已经代表公司共享了一个文档，，，，，并要求其点击链接阅读。。。。。。。之后，，，，，该链接将受害者沉定向到最后的网络垂钓登录页面，，，，，该页面看起来是Outlook的Microsoft单一登录（SSO）页面，，，，，并要求受害者输入其凭证，，，，，以执行偷窃。。。。。。。黑客一旦偷窃成功，，，，，便会使用IMAP API从服务器下载受害者的电子邮件中的数据，，，，，而后假意其身份与其他人通讯。。。。。。。最后，，，，，它们还会使用受害者的姓名、电子邮件地址和公司名称来天生新的垂钓邮件，，，，，对下一个受害者提议攻击。。。。。。。并且，，，，，该团伙还会在攻击实现后从受害者的发件箱中删除伪造的垂钓邮件，，，，，以免引起疑惑。。。。。。。

目前，，，，，该事务已经成功地攻击了德国、英国、荷兰、香港和新加坡的多家公司的至少156位高级官员的公司电子邮件帐户，，，，，重要针对的是金融服务公司（约50％），，，，，律师事务所和房地产公司。。。。。。。

Group-IB成立了一个在线网页，，，，，用户能够通过该网页查抄其电子邮件地址是否为PerSwaysion攻击一部门。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

Group-IBDFIR团队被约请查抄一家亚洲公司的事务，，，，，该公司确定PerSwaysion是复杂的三相网络垂钓操作，，，，，它使用特殊的战术和技术来预防被发现。。。。。。。威胁参加者通过“说服”担任沉要公司职位的人员打开来自其联系人真实地址的非恶意PDF电子邮件附件，，，，，从而充分利用了精心设计的社会工程技术。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

PDF附件是对Office 365文件共享的精心设计的通知，，，，，仿照了合法体式的受害者。。。。。。。单击“立即阅读”后，，，，，在这种情况下，，，，，受害者（大无数情况下是高级官员）被带到MS Sway上托管的文件钟祝。。。。。。攻击者选择合法的基于云的内容共享服务，，，，，例如Microsoft Sway，，，，，Microsoft SharePoint和OneNote，，，，，以预防流量检测。。。。。。。该页面类似于真实的Microsoft Office 365文件共享页面。。。。。。。但是，，，，，这是一个特造的演示文稿页面，，，，，它滥用了Sway默认的无际界视图。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

从此页面将指标幼我沉定向到最终指标，，，，，即现实的网络垂钓站点，，，，，其假装为Microsoft Single Sign-On页面的2017年版本。。。。。。。此处，，，，，网络垂钓工具为受害者分配了唯一的序列号，，，，，该序列号是根基的指纹鉴别技术。。。。。。。沉复要求齐全一样的URL将被回绝。。。。。。。它终场对指标接见的URL的任何自动威胁检测工作。。。。。。。当高级员工提交公司Office 365痛处时，，，，，该信息将通过暗藏在页面上的额表电子邮件地址发送到单独的数据服务器。。。。。。。这封有余的电子邮件用作实时通知步骤，，，，，以确保攻击者对新近收成的凭证做出反映。。。。。。。

0x02 参考链接

https://securityaffairs.co/wordpress/102539/hacking/perswaysion-sophisticated-phishing-campaign.html

https://threatpost.com/microsoft-sway-abused-office-365-phishing-attack/155366/

https://thehackernews.com/2020/04/targeted-phishing-attacks-successfully.html

0x03 功夫线

2020-05-01 VSRC颁布事务公告

8827太阳集团(Macau)股份有限公司-Official website

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

PerSwaysion | office 365垂钓攻击事务公告

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线