Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=mimecast-cases

Fallstudien zu Mimecast

API Email

Das Sophos MDR-Team den folgenden Fall zu Mimecast eskaliert:

Der Fall

Am 6. Februar 2024 erhielt das Sophos MDR-Team eine Reihe von Sicherheitswarnungen von Mimecast. Der Warnmeldungstyp lautet „Default URL Def“ und ist der MITRE-ATTACK-Technik „Spearphishing-Link“ zugeordnet. Wir stellten fest, dass der Warnhinweis-Sicherheitsmechanismus nicht auf die Aktivität reagierte (ursprüngliche Warnhinweis-Maßnahme: Erlaubt). Im Rahmen der MDR-Analyse wurde festgestellt, dass user@domain[.]com im Zusammenhang mit dem Host User-LT eine E-Mail mit der Betreffzeile 26 hours a day now possible in 24 - Wiz kid shares his secret empfing, die von der E-Mail-Adresse no-reply@xpressim[.]com mit der externen IP-Adresse 141[.]193[.]71[.]8 stammte. Die URL für diese Warnmeldung lautete hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer.

OSINT auf der Warnhinweis-URL myclickfunnels[.]com zeigt an, dass keine schädliche Reputation vorliegt. OSINT auf der IP 141[.]193[.]71[.]8 zeigt eine Zugehörigkeit zu ISP ClickFunnels USA und keine schädliche Reputation. Weitere Untersuchungen zur URL xpressim[.]com ergeben, dass sie ISP Amazon Technologies Inc. gehört und Missbrauch in Verbindung mit Phishing und Betrug sehr wahrscheinlich ist. Außerdem haben wir auf offene Sockets auf dem Host User-LT überprüft und keine verdächtigen Verbindungen festgestellt. Zu diesem Zeitpunkt haben wir folgende Empfehlungen.

Empfehlungen

  • Blockieren Sie die schädliche URL, die unten unter „Technische Details“ aufgeführt ist.
  • Blockieren Sie IP 141[.]193[.]71[.]8, wenn Click Funnels nicht geschäftlich verwendet wird.
  • Wenn der Benutzer auf Links in der E-Mail geklickt hat, setzen Sie als Vorsichtsmaßnahme die Anmeldeinformationen für den Benutzer user@domain[.]com zurück.

Technische Details

  • Erkennungs-ID: XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
  • Empfänger: user@domain[.]com
  • Absender: no-reply@xpressim[.]com
  • Absender-IP: 141[.]193[.]71[.]8
  • URLs: xpressim[.]com

Bitte informieren Sie MDR über Ihre Maßnahmen und Ergebnisse, nachdem Sie unsere Empfehlungen geprüft haben. Bei weiteren Fragen oder Bedenken können Sie uns gerne kontaktieren.