Microsoft 365 kihasználás
A Bridewell Cyber Threat Intelligence (CTI) egy széles körű, folyamatban lévő hitelesítő adatgyűjtési kampányt azonosított, amely július óta tart. A feltehetően a Storm-1575-höz kapcsolódó fenyegetés szereplői a Dadsec platformot használják a globális szervezetek széles körű adathalászatára, hogy ellopják a Microsoft 365 hitelesítő adatait. A fenyegetések szereplői a Cyber Panelt, egy nyílt forráskódú webfejlesztő panelt, több száz Domain Generated Algorithm (DGA) tartományt használnak, amelyeket naponta hoznak létre hitelesítő adatgyűjtő oldalak tárolására. A DGA egy olyan technika, amelyet rosszindulatú szereplők használnak több tartománynév gyors létrehozására, amelyek rosszindulatú tartalom, például rosszindulatú programok, adathalász webhelyek és parancs- és vezérlőkiszolgálók tárolására használhatók. Arra használják, hogy elkerüljék az észlelést, és biztosítsák, hogy rosszindulatú tartalmaikat ne blokkolják a biztonsági ellenőrzések.
A fenyegetés szereplői különféle csalikkal irányítják át az áldozatokat olyan soldalakra, mint a Bing, a Google AMP és a Microsoft Customer Voice, mielőtt a hitelesítő adatgyűjtő oldalakra irányítanák őket. Az ehhez a tevékenységhez kapcsolódó infrastruktúra a Cloudflare mögött található, amely technika a rosszindulatú kiszolgálók eredetének elfedésére és a biztonsági eszközökkel történő észlelés elkerülésére (is) szolgál.