freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻击者冒充VPN提供商对员工发起攻击,超130家公司已“中招”
2024-08-30 09:51:44
所属地 上海

近日,GuidePoint Research和Intelligence Team(GRIT)发现了一个针对英语使用者的持续钓鱼活动,该活动已经针对美国超过130家公司和组织。

研究人员指出,自2024年6月26日以来,这个威胁行为者注册了与目标组织使用的VPN提供商相似的域名。威胁行为者通常会打电话给员工个人,假装来自服务台或IT团队,并声称他们正在解决VPN登录问题。如果这种社工攻击尝试成功,威胁行为者会发送一个短信链接给用户,该链接指向假冒公司VPN的假网站。

该威胁行为者还为每个目标组织设置了自定义的VPN登录页面。与此活动相关的域名如下:

- ciscoweblink.com
- ciscolinkweb.com
- ciscolinkacc.com
- ciscoacclink.com
- linkciscoweb.com
- fortivpnlink.com
- vpnpaloalto.com
- linkwebcisco.com

这些页面与每个组织的合法页面非常相似,包括可用的 VPN 组。但是,在某些情况下,威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中,这可能是作为社会工程攻击中的一种策略。

通过这些虚假登录页面,威胁行为者能够收集用户的用户名、密码和令牌,即使存在多因素认证(MFA)也是如此。

如果 MFA 使用推送通知,则威胁行为者会指示用户在社交工程调用期间批准推送通知。在最后一步中,用户被重定向到目标组织的合法 VPN 地址,并可能被要求再次登录,从而加强问题已解决的错觉。

一旦威胁行为者获得对网络的VPN访问权限,他们立即开始扫描网络,以识别横向移动、持久性和进一步权限提升的目标。

GRIT写道:这种钓鱼活动中使用的社会工程类型特别难以检测,因为它通常发生在传统安全工具的可见性之外,例如通过直接拨打用户的手机号和使用短信/文本消息。

除非用户报告收到这些类型的电话或消息,否则安全团队甚至可能察觉不到。威胁行为者还可以通过这种方法针对多个用户,直到他们成功地找到一个容易受到这种攻击的用户。

为了避免安全风险,用户应对过去30天内来自VPN分配IP地址的可疑活动日志进行详细排查。如果发现任何成功的入侵迹象要立即与安全团队沟通,并立刻采取相应措施。

参考来源:https://cybernews.com/news/us-vpn-phishing-attack/

# 网络钓鱼攻击
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者