Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=mimecast-cases

Études de cas Mimecast

API Email

L’équipe Sophos MDR a fait remonter le dossier suivant pour Mimecast.

Le dossier

Le 6 février 2024, l’équipe Sophos MDR a reçu un ensemble d’alertes de sécurité de Mimecast. Ces alertes étaient de type « Default URL Def » mappé comme « Lien de spearphishing » sous la technique MITRE ATTACK. Nous avons constaté qu’aucune action n’avait été prise par le contrôle de sécurité pour résoudre l’activité (action d’alerte initiale : autorisée). L’investigation MDR a noté également que user@domain[.]com associé à l’hôte User-LT avait reçu un email avec l’objet 26 hours a day now possible in 24 - Wiz kid shares his secret provenant de l’adresse email no-reply@xpressim[.]com avec l’adresse IP externe 141[.]193[.]71[.]8. L’URL de cette alerte était hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer.

Les renseignements OSINT portant sur l’URL ayant déclenché l’alerte myclickfunnels[.]com ne révélaient pas de réputation malveillante. Ils ne révélaient rien d’inquiétant non plus sur l’adresse IP 141[.]193[.]71[.]8 qui semblait appartenir au FAI ClickFunnels basé aux États-Unis. Une investigation plus approfondie de l’URL xpressim[.]com a révélé qu’elle appartenait au FAI Amazon Technologies Inc. et qu’elle présentait un score d’abus de confiance élevé lié au phishing et à la fraude. Nous avons ensuite examiné les sockets ouverts sur l’hôte User-LT et n’avons observé aucune connexion suspecte. À ce stade, nous avons communiqué les recommandations suivantes au client.

Recommandations

  • Bloquez l’URL malveillante répertoriée dans la section « Détails techniques » ci-dessous.
  • Bloquez l’adresse IP 141[.]193[.]71[.]8 si ClickFunnels n’est pas utilisé par l’entreprise.
  • Par mesure de précaution, réinitialisez les identifiants de l’utilisateur user@domain[.]com si celui-ci a cliqué sur des liens dans l’email.

Détails techniques

  • ID de détection : XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
  • Destinataires : user@domain[.]com
  • Expéditeur : no-reply@xpressim[.]com
  • Adresse IP de l’expéditeur : 141[.]193[.]71[.]8
  • URL : xpressim[.]com

Veuillez informer l’équipe MDR de vos actions et de vos conclusions après avoir examiné nos recommandations. N’hésitez pas à nous contacter si vous avez d’autres questions ou préoccupations.