Pesquisadorores Identificar um Campanha Avançada de Coleta de Credenciais Que Teme Como Alvo Administrores De Screenconnect Em NuVem, Explorando Ataques de Spear Phishing Para obter contas de Super Administradores. Uma operação, Chamada MCTO3030, Mantém Atividade Desde 2022 Com Distribuição de Baido Volume-Até 1.000 e-mails por Rodada-o que tem dificultado sua detecção.
Leia Tamboma
Phishing no Gmail USA solicita para EngaNar IA
Pacote Pypi Malicioso Rouba Credenciais de Devs
O Foco São Profissionais de Ti Com Privilégios Elevados, inclluindo diretores, Gestores e Equipes de Segurança. OS atACANTES UTILIZAM Amazon Simple Email Service (SES) para inveiar mensagens que simulam alertas de login suspeito em ips ou regiões incomuns, criando senso de urgência. OS vincula o direcionam como Vítimas para Páginas Falsas que imitam de forma Convencente o Portal Screenconnect, Hospedadas em Domínios que Seguem o Padrão de Connectwise.com em Diferentes País (.ar, .be, .cm).
De acordo com os analistas da Mimecast, há indícios de ligaza com OPERAÇÕES De Ransomware, inclluindo Afiliados do Qilin. O Roubo de Credenciais de Super Administradores Representam um vetor inicial de acesso, permitindo a instaladão de clientes Screenconnect maliciosos em Múltiplos endpoints de forma simultânea.
O Técrico diferente da Campanha é o Uso do Framework Evilginx, que possibilita Ataques de Adversário no Middle (AITM). Essa abordagem intercepta credenciais e tokens de autenticação multifator em tempo real, Burlando controla de segurança modernos e garantindo acesso persistente à s Contas comprometetidas.
O Uso constitui da infraestrutura Amazon ses aumuta como taxatas de entrega e ajuda um contornar filtros tradicionais de e-mail, evidenciando de nível de sofistichação e planejamento estratégico dos atacantes.
