Abusare degli spazi di lavoro di Atlassian, Archbee e Nuclino

2 agosto 2024

I ricercatori di minacce di Mimecast hanno identificato una nuova tattica di phishing in cui i malintenzionati sfruttano le problematiche legate alla conformità. Questi aggressori ingannano gli utenti facendogli credere che debbano cliccare su un link per soddisfare un requisito di conformità, indirizzandoli a un falso portale aziendale per raccogliere credenziali o altre informazioni sensibili.

C'è una notevole personalizzazione nelle email, come i dettagli di un 'dispositivo' e diversi riferimenti al dominio aziendale a cui inviano queste campagne per aumentarne la validità. Il nome dell'indirizzo del mittente si riferisce sempre al nome di dominio dell'organizzazione della vittima con l'obiettivo di ingannare gli utenti finali e fargli credere che provenga dal loro reparto interno.

Ci sono vari URL utilizzati in questa campagna. Un uso interessante è quello degli URL di Postmark per reindirizzare l'utente a queste soluzioni unificate per lo spazio di lavoro.

• hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp%252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-4961-92a6-db7f088575be%2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',

Esistono diverse tecniche di offuscamento utilizzate per nascondere la vera destinazione di un URL:

• Reindirizzamenti multipli
• hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s...
• Caratteri codificati
• %2F, %252F, %25252F
• Parametri di monitoraggio
• u4jK, AQ, seguito da stringhe come 82ec5a25-c50f-4c68-a1ad-64d3d3de6c19

Seguendo il link, vediamo la pagina sottostante su archbee.com che contiene un altro link su cui fare clic per accedere a un documento. La pagina indica che l'utente dovrà "effettuare l'accesso" nuovamente per accedere.

Vediamo pagine simili ospitate su Confluence, un servizio utilizzato da molte organizzazioni per permettere ai dipendenti di collaborare.

Tutti i link su queste pagine utilizzano nuovamente varie tecniche di offuscamento per eludere il rilevamento e, una volta cliccati, agli utenti viene presentata una pagina di accesso a Microsoft come i due esempi mostrati di seguito.

Mimecast continua a osservare che gli attori delle minacce utilizzano servizi come OneDrive e Google Docs per ospitare i file o i link nelle loro campagne, ma l'uso di spazi di lavoro come Atlassian non è stato precedentemente oggetto di abusi significativi. Tuttavia, c'è stato un notevole aumento nell'uso di Atlassian per eludere il rilevamento, che continuerà a essere monitorato.

Obiettivi

Australia, studi legali di spicco

Obiettivi

Indirizzo email dell'intestazione del mittente

• @re[.]commufa[.]jp
• @biglobe[.]ne[.]jp

URL

• hxxps://click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fbatesbooks.com%25252F%25253Fgnwihigb%252Fu4jK%252F_TK1AQ%252FAQ%252Feb4ca8cd-9fd8-441d-bd47-ba8515ce4ecb%252F1%252F29ti9u-YHt%2Fu4jK%2F-jK1AQ%2FAQ%2F5144fccb-e0c2-47a4-bc78-4996415f3747%2F1%2Fp92u3QTaSb/u4jK/ATO1AQ/AQ/2fd5814e-142f-44ef-9cf1-186f556a5be6/1/s3sdWJSj3H
• hxxps://click.pstmrk.it/3s/click.pstmrk.it/3s/click.pstmrk.it%2F3s%2Fclick.pstmrk.it%252F3s%252Fclick.pstmrk.it%25252F3s%25252Fapp.archbee.com%2525252Fpublic%2525252FPREVIEW-zC6lbWbDnmk5z3buJBCII%25252Fu4jK%25252FLz21AQ%25252FAQ%25252F82ec5a25-c50f-4c68-a1ad-64d3d3de6c19%25252F1%25252Fv1mx6BTihp%252Fu4jK%252FMz21AQ%252FAQ%252F81fdc556-5c20-4662-ae2e-00bb0fe3a7ee%252F1%252F1bKy8k_jhk%2Fu4jK%2FND21AQ%2FAQ%2Fb39933dc-3c34-4961-92a6-db7f088575be%2F1%2F6ayZ139fVi/u4jK/u0y1AQ/AQ/e869e477-658b-49e4-b61d-957766ad7b9f/1/lzhdvOcfmW/u4jK/vUy1AQ/AQ/9638350e-ed00-4ae7-8f62-b58ed9d0b391/1/i0yMJ-e4SI',