思科警告:“关键更新”钓鱼攻击窃取用户 Webex 凭证
聚焦源代码安全,网罗国内外最新资讯!
作者:Lindsey O'Donnell
编译:奇安信代码卫士团队
思科警告称,目前钓鱼攻击活动向受害者发布思科安全公告要求受害者更新以修复一个严重漏洞,然而实际上却是窃取思科 Webex 网络会议平台的凭证。
这次钓鱼活动主要针对的是远程工作浪潮。Cofense 公司钓鱼防御中心员工 Ashley Tran 表示,“攻击电话会议用户的事件并不新鲜。但由于多数组织机构遵循非核心员工在家工作的原则,远程工作人群的急剧增加成为攻击者欺骗 WebEx 等品牌的主要目标。我们预计未来几个月远程工作钓鱼活动将持续增加。”
研究人员表示,钓鱼邮件以各种吸引眼球的主题词发送如“关键更新”或“警报!”并发送自被欺骗的邮件地址。他们指出来自多个行业如医疗和金融领域的大量用户都收到了这些邮件,覆盖范围庞大。
研究人员表示,主题和邮件内容足以勾起用户的好奇心,从而按照钓鱼邮件的要求去做。邮件的主体部分嵌入了思科于2016年12月发布的一份安全公告并附有思科 Webex 品牌标识。该安全公告指出,CloudCenter OrchestratorDocker Engine (思科应用管理工具,这些应用用于多个数据中心、私有云和公有云环境)中含有一个合法漏洞 CVE-2016-9223,可导致未认证的远程攻击者以受影响系统上的高级别权限安装 Docker 容器。当时漏洞被披露时已遭利用。然而,该漏洞已在2016年发布的 CloudCenter Orchestrator4.6.2 版本中修复。
研究人员指出,“在这种场景下,威胁行动者欺骗了合法业务服务并解释了该服务软件中存在的问题,提示即使是非技术读者也继续读下去。威胁行动者甚至提供了该漏洞的合法 write-up,作为文本 ‘CVE-2016-9223’的超链接。”
钓鱼邮件告知受害者称,“要修复这个错误,我们推荐您升级思科 Meetings Desktop App forWindows 版本”,并将受害者指向一个 “Join” 按钮了解关于“更新”的更多信息。
威胁行动者在整个过程中看似事无巨细。如果收件人足够仔细地悬停在该按钮查看 URL 时会发现该地址 ([hxxps://globalpagee-prod-webex[.]com/signin])和思科 WebEx URL ([hxxps://globalpage-prod[.]webex[.]com/signin])极其相似。
着陆页
点击 “Join” 按钮的受害者被重定向至和合法思科 WebEx 登录页面相似的钓鱼着陆页。研究人员表示二者的一个细微差别是,当在合法 Webex 页面输入邮件地址时,会检查是否存在关联账户;而在钓鱼页面任何邮件格式的条目都会直接让收件人进入下一个页面输入密码。
威胁行动者在发送钓鱼邮件几天前才通过 Public Domain Registry 才注册了和着陆页面相关联的欺诈性域名。该欺诈性域名仍然是使用状态而且在本周三仍然活跃。
研究人员表示,“攻击者甚至还为欺诈性域名获得一个 SSL 证书,获得终端用户的进一步信任。思科的官方证书得到 HydrantID 验证,而攻击者的证书得到 Sectigo Limited 验证。不管谁验证了攻击者的证书,结果是一样的:渲染邮件合法性的URL左侧的小锁骗过了很多用户。”
研究人员警告称,警惕恶意人员欺骗网络会议和虚拟协作应用。一般而言,攻击者会利用人们对新冠病毒的恐慌,发送围绕金融援助、治愈承诺和症状信息详情的钓鱼邮件。
推荐阅读
思科WebEx扩展中又出现严重的RCE漏洞
这五款热门商用密码管理器中均存在缺陷,可导致用户凭证被盗
原文链接
https://threatpost.com/cisco-critical-update-phishing-webex/154585/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,一起玩耍
思科警告:“关键更新”钓鱼攻击窃取用户 Webex 凭证相关推荐
- 常见的5种网络钓鱼攻击类型!
网络钓鱼攻击是比较常见且人人熟知的一种攻击方式,虽然这种攻击方式不是以入侵为主要,但其危害范围极大,也是最严重的网络威胁之一.目前,网络钓鱼攻击类型有很多种,本文主要为大家介绍一下"常见的5 ...
- Web 3.0 中常见的网络钓鱼攻击
Web 3.0 中常见的网络钓鱼攻击 简要介绍 Web 3的网络钓鱼日益增多,一些主要的网络钓鱼技术包括: 使用不安全的Discord机器人在一些官方的Discord服务器上发布钓鱼链接: 直接发送钓 ...
- 内网渗透-cs之模拟钓鱼攻击
cs之钓鱼攻击 文章目录 cs之钓鱼攻击 前言 一.什么是钓鱼攻击 二.cs之钓鱼攻击获取用户信息 1.钓鱼攻击步骤 1.文件下载 2.克隆网站 3.信息收集 2. 获取键盘记录和会话信息 总结 前言 ...
- 老牌硬件钱包Trezor用户遭钓鱼攻击,攻击者或已窃取大量账户信息
7月1日,Trezor团队发现其加密钱包用户遭到了钓鱼攻击,他们认为"有迹象表明攻击手段是DNS中毒或BGP劫持",因为攻击者劫持了官方网站wallet.trezor.io的流量, ...
- 警告:黑客发动在线钓鱼攻击不再依赖电子邮件
安全厂商Trusteer的研究人员表示,近日黑客利用所有主流浏览器中存在的一个漏洞发起新型攻击,被称为"在线钓鱼攻击(in-session phishing)",这种攻击能够帮助黑 ...
- 黑客侵入电子签名供应商DocuSign的数据库 随后向用户发起钓鱼攻击
当我们都忙于应对WannaCry勒索软件时,有两起数据泄露事件被上报.一起发生在DocuSign,电子签名技术的主要供应商之一:另一起发生在BELL,加拿大最大的电信公司. 在周二发布在其网站的一篇通 ...
- 在真正的短信网络钓鱼攻击内部
SMS based phishing attacks (Smishing) are a real threat that we see every day. To help you spot them ...
- 防不胜防?网络钓鱼攻击常用手法盘点与防护建议
[环境搭建资料.工具包.全套视频-等籽料]私信聆取 网络钓鱼攻击是最常见.最容易让受害者中招的网络犯罪之一,随着网络技术的不断发展,攻击者的伪装手段也变得愈发狡诈,攻击频次也再增高,各种新奇的攻击方式 ...
- 警惕!又一起网络钓鱼攻击事件:Uniswap被盗810万美元
2022年7月12日,Uniswap V3 平台遭受了网络钓鱼攻击.据Tokenview数据显示,攻击者已盗取7,573枚ETH,价值约810万美元. CZ预警 Binance首席执行官CZ发推提醒, ...
最新文章
- PHP原生处理select结果集的函数介绍
- mysql 单列转换为行,mysql行转换为列
- Maatkit工具使用lt;一gt;之mysql主从数据校验工具
- mysql基础 事务的认识和使用
- 管道符和作业控制 shell变量 环境变量配置文件
- 前端学习(3263):js中undefine
- 【Python】pip模块管理Python包的常用方法
- bubbo调用Failed to invoke remote method异常解决
- Ubuntu下添加boost库
- Log4j2 Zero Day 漏洞 Apache Flink 应对指南(二)
- 一步教会fpga数字信号处理
- 如何避免“被贷款”影响个人信用记录?
- TinaFace: Strong but Simple Baseline for Face Detection论文笔记
- SpringCloud版本Hoxton SR5 --- 第五讲:zuul 路由、过滤、容错与回退、集群、高可用
- element-ui按需引入报错 Error: Cannot find module ‘babel-preset-es2015‘
- 如果一个人没有明确的目标,他的人生就像是一艘没有罗盘的船
- 关于CSDN博客域名
- 因为「Web3.0」,推特创始人被自己的投资人拉黑了
- tankbot 机器人_优必选首款履带式Jimu机器人 TankBot 登陆Apple Store零售店
- HCIA基础知识(1)