Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=mimecast-cases

Case study per Mimecast

API Email

Il team Sophos MDR ha effettuato l’escalation del seguente caso per Mimecast.

Il caso

Il 6 febbraio 2024, il team Sophos MDR ha ricevuto un gruppo di avvisi di sicurezza da Mimecast. Il tipo di avviso è “Default URL Def”, mappato alla tecnica MITRE ATT&CK come “Spearphishing Link” (Link di spearphishing). Abbiamo osservato che l’attività risulta “unactioned”, ovvero con nessuna azione intrapresa (azione dell’avviso originale: “allowed”, ovvero consentita) dal controllo di sicurezza per gli avvisi. Le indagini di MDR hanno osservato che user@domain[.]com è associato alla ricezione da parte dell’host User-LT di un’e-mail con intestazione dell’oggetto 26 hours a day now possible in 24 - Wiz kid shares his secret, proveniente dall’indirizzo e-mail no-reply@xpressim[.]com, con indirizzo IP esterno 141[.]193[.]71[.]8. L’URL per questo avviso era hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer.

L’OSINT sull’URL dell’avviso myclickfunnels[.]com indica che non ha una reputazione pericolosa. L’OSINT sull’IP 141[.]193[.]71[.]8 mostra che appartiene all’ISP ClickFunnels USA e non indica una reputazione pericolosa. Ulteriori indagini sull’URL xpressim[.]com rivelano che appartiene all’ISP Amazon Technologies Inc, e che presenta un uso improprio con alto punteggio di attendibilità, associato a phishing e frode. Inoltre, abbiamo verificato la presenza di socket aperti sull’host User-LT e non abbiamo rilevato alcuna connessione sospetta. A questo punto, abbiamo le raccomandazioni indicate di seguito.

Raccomandazioni

  • Bloccare l’URL dannoso elencato di seguito in “Dati tecnici”.
  • Bloccare l’IP 141[.]193[.]71[.]8 se Click Funnels non viene utilizzato per scopi aziendali.
  • Come precauzione, se l’utente ha cliccato su un link all’interno dell’e-mail, reimpostare le credenziali per l’utente user@domain[.]com.

Dati tecnici

  • ID di rilevamento: XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
  • Destinatari: user@domain[.]com
  • Mittente: no-reply@xpressim[.]com
  • IP del mittente: 141[.]193[.]71[.]8
  • URL: xpressim[.]com

Dopo aver esaminato le nostre raccomandazioni, ti preghiamo di informare MDR delle azioni intraprese e dei risultati ottenuti. Non esitare a contattarci in caso di qualsiasi altro dubbio o domanda.