首页 > 清静研究 > 清静转达 > 清静通告

PerSwaysion | office 365垂纶攻击事务通告

宣布时间 2020-05-01

0x00 事务概述

克日，，，新加坡网络清静公司IB集团发明了一个新的网络垂纶活动，，，名为PerSwaysion，，，此次攻击活动使用Microsoft的文件共享效劳，，，已经乐成对全球多家公司的150多位治理层员工提倡了网络垂纶攻击，，，主要涉及的是金融、执法和房地产领域的企业。。。。。。。。

0x01 事务详情

此次攻击是由越南的黑客组织提倡的，，，从2019年年中最先举行，，，因使用了Microsoft Sway而被称为PerSwaysion。。。。。。。。该黑客组织首先向受害者发送一封垂纶邮件，，，该邮件中插入了伪造的Office 365文件共享的通知，，，以增添其真实性，，，还包括一个“连忙阅读”的链接。。。。。。。。当受害者点击链接后，，，受害者便被重定向到了托管在Microsoft Sway平台上的文件。。。。。。。。该页面会告诉受害者发件人已经代表公司共享了一个文档，，，并要求其点击链接阅读。。。。。。。。之后，，，该链接将受害者重定向到最后的网络垂纶登录页面，，，该页面看起来是Outlook的Microsoft简单登录（SSO）页面，，，并要求受害者输入其凭证，，，以实验偷窃。。。。。。。。黑客一旦偷窃乐成，，，便会使用IMAP API从效劳器下载受害者的电子邮件中的数据，，，然后冒充其身份与其他人通讯。。。。。。。。最后，，，它们还会使用受害者的姓名、电子邮件地点和公司名称来天生新的垂纶邮件，，，对下一个受害者提倡攻击。。。。。。。。并且，，，该团伙还会在攻击竣事后从受害者的发件箱中删除伪造的垂纶邮件，，，以免引起嫌疑。。。。。。。。

现在，，，该事务已经乐成地攻击了德国、英国、荷兰、香港和新加坡的多家公司的至少156位高级官员的公司电子邮件帐户，，，主要针对的是金融效劳公司（约50％），，，状师事务所和房地产公司。。。。。。。。

Group-IB建设了一个在线网页，，，用户可以通过该网页检查其电子邮件地点是否为PerSwaysion攻击一部分。。。。。。。。

万利国际官网(中国游)有限公司

Group-IBDFIR团队被约请检查一家亚洲公司的事务，，，该公司确定PerSwaysion是重大的三相网络垂纶操作，，，它使用特殊的战略和手艺来阻止被发明。。。。。。。。威胁加入者通过“说服”担当主要公司职位的职员翻开来自其联系人真实地点的非恶意PDF电子邮件附件，，，从而充分使用了全心设计的社会工程手艺。。。。。。。。

万利国际官网(中国游)有限公司

PDF附件是对Office 365文件共享的全心设计的通知，，，模拟了正当名堂的受害者。。。。。。。。单击“连忙阅读”后，，，在这种情形下，，，受害者（大大都情形下是高级官员）被带到MS Sway上托管的文件中。。。。。。。。攻击者选择正当的基于云的内容共享效劳，，，例如Microsoft Sway，，，Microsoft SharePoint和OneNote，，，以阻止流量检测。。。。。。。。该页面类似于真实的Microsoft Office 365文件共享页面。。。。。。。。可是，，，这是一个特制的演示文稿页面，，，它滥用了Sway默认的无界线视图。。。。。。。。

万利国际官网(中国游)有限公司

以后页面将目的小我私家重定向到最终目的，，，即现实的网络垂纶站点，，，其伪装为Microsoft Single Sign-On页面的2017年版本。。。。。。。。此处，，，网络垂纶工具为受害者分派了唯一的序列号，，，该序列号是基本的指纹识别手艺。。。。。。。。重复请求完全相同的URL将被拒绝。。。。。。。。它阻止对目的会见的URL的任何自动威胁检测事情。。。。。。。。当高级员工提交公司Office 365凭证时，，，该信息将通过隐藏在页面上的特殊电子邮件地点发送到单独的数据效劳器。。。。。。。。这封多余的电子邮件用作实时通知要领，，，以确保攻击者对新近收获的凭证做出反应。。。。。。。。

0x02 参考链接

https://securityaffairs.co/wordpress/102539/hacking/perswaysion-sophisticated-phishing-campaign.html

https://threatpost.com/microsoft-sway-abused-office-365-phishing-attack/155366/

https://thehackernews.com/2020/04/targeted-phishing-attacks-successfully.html

0x03 时间线

2020-05-01 VSRC宣布事务通告

万利国际官网(中国游)有限公司

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

PerSwaysion | office 365垂纶攻击事务通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线