BEC-kampagne udnytter Office 365

Cloudtjenester bliver brugt til spearphishingforsøg.

En bølge af business email compromise-forsøg (BEC) forsøger i øjeblikket at nå ledere i flere større virksomheder, ifølge Trend Micro, primært i USA og Canada. Der er tale om spearphishingangreb, dvs. målrettede angreb mod navngivne personer, der har en form for ledelsesfunktion relateret til økonomi og regnskab i organisationen. Det skriver Dark Reading.

Formålet med kampagnen er at stjæle legitimationsoplysninger for at udføre BEC-aktivitet.

Selve angrebet finder sted på traditionel vis, ved at der udsendes phishingmails, hvor ofrene omdirigeres til falske loginsider til Office 365. Når ofrene har logget ind på den falske Office 365 konto, kan de kriminelle få fat i legitimationsoplysninger, hvorved de kan sende troværdige mails til andre, underordnede ledere med fakturaer med falske bank- og kontioplysninger.

Gør brug af cloudtjenester

Angrebsaktiviteterne har i den pågældende form fundet sted siden marts 2020 af en gruppe, der kaldes Water Nue.

Ifølge et blogindlæg fra forskere ved Trend Micro er Water Nue interessant. Gruppen har succes med at gå efter ansatte på højt niveau, men gruppens tekniske kapaciteter er begrænsede. Således bruger Water Nue grundlæggende phishing-værktøjer – dvs. ingen bagdøre eller trojanere - og er afhængige af offentlige cloudtjenester.

Brugen af cloudtjenesterne gør det muligt for angribere at sløre operationerne ved selv at være vært for infrastrukturen i selve tjenesterne. Det gør det vanskeligere for forensic teams at opdage aktiviteten. Derfor er denne teknik blevet mere og mere almindelig blandt cyberkriminelle.

Selv om den ikke er ny, er den effektiv: Ifølge Trend Micros blogindlæg fra den 6. august havde Water Nues angrebforsøg allerede dér indsamlet mere end 800 legitimationsoplysninger.

Links:

https://blog.trendmicro.com/trendlabs-security-intelligence/water-nue-campaign-targets-c-suites-office-365-accounts/

https://www.darkreading.com/bec-campaigns-target-financial-execs-via-office-365/d/d-id/1338611