首页 > 清静研究 > 清静转达 > 清静通告

PerSwaysion | office 365垂纶攻击事务通告

宣布时间 2020-05-01

0x00 事务概述

克日，，，，，新加坡网络清静公司IB集团发明了一个新的网络垂纶活动，，，，，名为PerSwaysion，，，，，此次攻击活动使用Microsoft的文件共享效劳，，，，，已经乐成对全球多家公司的150多位治理层员工提倡了网络垂纶攻击，，，，，主要涉及的是金融、执法和房地产领域的企业。。。。。。。

0x01 事务详情

此次攻击是由越南的黑客组织提倡的，，，，，从2019年年中最先举行，，，，，因使用了Microsoft Sway而被称为PerSwaysion。。。。。。。该黑客组织首先向受害者发送一封垂纶邮件，，，，，该邮件中插入了伪造的Office 365文件共享的通知，，，，，以增添其真实性，，，，，还包括一个“连忙阅读”的链接。。。。。。。当受害者点击链接后，，，，，受害者便被重定向到了托管在Microsoft Sway平台上的文件。。。。。。。该页面会告诉受害者发件人已经代表公司共享了一个文档，，，，，并要求其点击链接阅读。。。。。。。之后，，，，，该链接将受害者重定向到最后的网络垂纶登录页面，，，，，该页面看起来是Outlook的Microsoft简单登录（SSO）页面，，，，，并要求受害者输入其凭证，，，，，以实验偷窃。。。。。。。黑客一旦偷窃乐成，，，，，便会使用IMAP API从效劳器下载受害者的电子邮件中的数据，，，，，然后冒充其身份与其他人通讯。。。。。。。最后，，，，，它们还会使用受害者的姓名、电子邮件地点和公司名称来天生新的垂纶邮件，，，，，对下一个受害者提倡攻击。。。。。。。并且，，，，，该团伙还会在攻击竣事后从受害者的发件箱中删除伪造的垂纶邮件，，，，，以免引起嫌疑。。。。。。。

现在，，，，，该事务已经乐成地攻击了德国、英国、荷兰、香港和新加坡的多家公司的至少156位高级官员的公司电子邮件帐户，，，，，主要针对的是金融效劳公司（约50％），，，，，状师事务所和房地产公司。。。。。。。

Group-IB建设了一个在线网页，，，，，用户可以通过该网页检查其电子邮件地点是否为PerSwaysion攻击一部分。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Group-IBDFIR团队被约请检查一家亚洲公司的事务，，，，，该公司确定PerSwaysion是重大的三相网络垂纶操作，，，，，它使用特殊的战略和手艺来阻止被发明。。。。。。。威胁加入者通过“说服”担当主要公司职位的职员翻开来自其联系人真实地点的非恶意PDF电子邮件附件，，，，，从而充分使用了全心设计的社会工程手艺。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

PDF附件是对Office 365文件共享的全心设计的通知，，，，，模拟了正当名堂的受害者。。。。。。。单击“连忙阅读”后，，，，，在这种情形下，，，，，受害者（大大都情形下是高级官员）被带到MS Sway上托管的文件中。。。。。。。攻击者选择正当的基于云的内容共享效劳，，，，，例如Microsoft Sway，，，，，Microsoft SharePoint和OneNote，，，，，以阻止流量检测。。。。。。。该页面类似于真实的Microsoft Office 365文件共享页面。。。。。。。可是，，，，，这是一个特制的演示文稿页面，，，，，它滥用了Sway默认的无界线视图。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

以后页面将目的小我私家重定向到最终目的，，，，，即现实的网络垂纶站点，，，，，其伪装为Microsoft Single Sign-On页面的2017年版本。。。。。。。此处，，，，，网络垂纶工具为受害者分派了唯一的序列号，，，，，该序列号是基本的指纹识别手艺。。。。。。。重复请求完全相同的URL将被拒绝。。。。。。。它阻止对目的会见的URL的任何自动威胁检测事情。。。。。。。当高级员工提交公司Office 365凭证时，，，，，该信息将通过隐藏在页面上的特殊电子邮件地点发送到单独的数据效劳器。。。。。。。这封多余的电子邮件用作实时通知要领，，，，，以确保攻击者对新近收获的凭证做出反应。。。。。。。

0x02 参考链接

https://securityaffairs.co/wordpress/102539/hacking/perswaysion-sophisticated-phishing-campaign.html

https://threatpost.com/microsoft-sway-abused-office-365-phishing-attack/155366/

https://thehackernews.com/2020/04/targeted-phishing-attacks-successfully.html

0x03 时间线

2020-05-01 VSRC宣布事务通告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

PerSwaysion | office 365垂纶攻击事务通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线