주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=mimecast-cases

Mimecast 사례 연구

API Email

Sophos MDR 팀은 Mimecast에 대해 다음 케이스를 에스컬레이션했습니다.

케이스

2024년 2월 6일, Sophos MDR 팀은 미메캐스트로부터 일련의 보안 경고를 받았다. 알림 유형은 MITRE 공격 기법에서 '스피어피싱 링크'로 매핑된 '기본 URL DEF'입니다. 경고 보안 제어에 의해 작업이 '실행되지 않음'(원래 경고 작업: 허용됨)인 것을 관찰했습니다. MDR 조사 결과 user@domain[.]com User-LT , 26 hours a day now possible in 24 - Wiz kid shares his secret no-reply@xpressim[.]com 외부 IP 주소 141[.]193[.]71[.]8가 있는 이메일 주소에서 시작되는 제목 제목의 이메일를 수신하는 호스트와 관련된 것으로 관찰되었습니다. 이 알림의 URL은 입니다 hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer.

경고 URL의 OSINT는 myclickfunnels[.]com 악의적인 평판을 보유하지 않음을 나타냅니다. IP의 OSINT 141[.]193[.]71[.]8 는 ISP ClickFunnels USA에 속해 있으며 악의적 인 평판을 표시하지 않습니다. URL에 대한 추가 조사에 xpressim[.]com 따르면 ISP Amazon Technologies Inc의 소유이며 피싱 및 사기와 관련된 신뢰도 남용 점수가 높습니다. 또한 호스트에서 열린 소켓을 확인했으며 User-LT 의심스러운 연결을 관찰하지 못했습니다. 이 단계에서는 다음과 같은 권장 사항을 제공합니다.

권장 사항

  • 아래 "기술 세부 정보"에 나열된 악성 URL을 차단합니다.
  • 141[.]193[.]71[.]8 클릭 퍼널이 업무용으로 사용되지 않는 경우 IP 차단
  • 예방 조치로, 사용자가 이메일 내의 링크를 클릭한 경우 user 에 대한 자격 증명을 다시 user@domain[.]com설정합니다.

기술 세부 정보

  • 감지 ID: XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
  • 받는 사람: user@domain[.]com
  • 보낸 사람: no-reply@xpressim[.]com
  • 보낸 사람 IP: 141[.]193[.]71[.]8
  • URL: xpressim[.]com

권장 사항을 검토한 후 MDR에게 작업 및 조사 결과를 알려주십시오. 추가 질문이나 우려 사항이 있는 경우 언제든지 저희에게 연락해 주십시오.