攻擊者冒充VPN提供商對員工發起攻擊,超130家公司已“中招”
近日,GuidePoint Research和Intelligence Team(GRIT)發現了一個針對英語使用者的持續釣魚活動,該活動已經針對美國超過130家公司和組織。
研究人員指出,自2024年6月26日以來,這個威脅行為者注冊了與目標組織使用的VPN提供商相似的域名。威脅行為者通常會打電話給員工個人,假裝來自服務臺或IT團隊,并聲稱他們正在解決VPN登錄問題。如果這種社工攻擊嘗試成功,威脅行為者會發送一個短信鏈接給用戶,該鏈接指向假冒公司VPN的假網站。
該威脅行為者還為每個目標組織設置了自定義的VPN登錄頁面。與此活動相關的域名如下:
- ciscoweblink.com
- ciscolinkweb.com
- ciscolinkacc.com
- ciscoacclink.com
- linkciscoweb.com
- fortivpnlink.com
- vpnpaloalto.com
- linkwebcisco.com
這些頁面與每個組織的合法頁面非常相似,包括可用的 VPN 組。但是,在某些情況下,威脅行為者已將“TestVPN”和“RemoteVPN”等 VPN 組添加到虛假登錄頁面的下拉菜單中,這可能是作為社會工程攻擊中的一種策略。
通過這些虛假登錄頁面,威脅行為者能夠收集用戶的用戶名、密碼和令牌,即使存在多因素認證(MFA)也是如此。
如果 MFA 使用推送通知,則威脅行為者會指示用戶在社交工程調用期間批準推送通知。在最后一步中,用戶被重定向到目標組織的合法 VPN 地址,并可能被要求再次登錄,從而加強問題已解決的錯覺。
一旦威脅行為者獲得對網絡的VPN訪問權限,他們立即開始掃描網絡,以識別橫向移動、持久性和進一步權限提升的目標。
GRIT寫道:這種釣魚活動中使用的社會工程類型特別難以檢測,因為它通常發生在傳統安全工具的可見性之外,例如通過直接撥打用戶的手機號和使用短信/文本消息。
除非用戶報告收到這些類型的電話或消息,否則安全團隊甚至可能察覺不到。威脅行為者還可以通過這種方法針對多個用戶,直到他們成功地找到一個容易受到這種攻擊的用戶。
為了避免安全風險,用戶應對過去30天內來自VPN分配IP地址的可疑活動日志進行詳細排查。如果發現任何成功的入侵跡象要立即與安全團隊溝通,并立刻采取相應措施。