Mimecast案例研究
Sophos MDR團隊升級了Mimecast的以下案例。
案例
2024年2月6日,Sophos MDR小組收到來自Mimecast的一組安全警報。警示類型為「預設URL定義」,在MITRE攻擊技巧下對應為「珍珠網路釣魚連結」。我們觀察到警報安全控管「未採取行動」(原始警示動作:允許)活動。發現MDR調查 user@domain[.]com 與主機相關聯,主機 User-LT 收到的電子郵件的主題標題 26 hours a day now possible in 24 - Wiz kid shares his secret 來自 no-reply@xpressim[.]com 外部IP地址的電子郵件地址 141[.]193[.]71[.]8。此警報的URL是 hxxps[://]jharedcruzada[.]myclickfunnels[.]com/_tracking/email_click/broadcast/NPobBO?contact_id=BqlnPlG&url=hxxps%3A%2F%2Flevelup[.]go2im[.]com%2Foffer。
警報URL上的OSINT myclickfunnels[.]com 顯示它沒有惡意聲譽。IP上的OSINT 141[.]193[.]71[.]8 顯示它屬於ISP ClickFunnels USA,並且不顯示惡意聲譽。對URL的進一步調查 xpressim[.]com 顯示,該URL屬於ISP Amazon Technologies Inc,並且具有與釣魚和欺詐相關的高置信度濫用分數。此外,我們還檢查了主機上是否存在開放的套接字 User-LT ,沒有發現任何可疑的連接。在現階段,我們提出以下建議。
建議操作
- 封鎖下方「技術詳細資料」中列出的惡意URL。
141[.]193[.]71[.]8如果Click Funnels不在業務用途中,則阻止IP。- 作爲預防措施,如果用戶單擊了電子郵件中的任何鏈接,請重置用戶的憑據
user@domain[.]com。
技術詳細資訊
- 偵測 ID:XDR-mimecast-Phishing-for-Information:-Spearphishing-Link
- 接收者:
user@domain[.]com - 寄件者:
no-reply@xpressim[.]com - 發件人IP:
141[.]193[.]71[.]8 - URLs:
xpressim[.]com
請在審核我們的建議後將您的行動和發現告知MDR。如有任何其他問題或疑慮,請隨時與我們聯繫。