해커는 자격 증명 수확을위한 파일 공유 서비스 및 리버스 프록시를 활용 관련 IOC 4개 발견
최근 위협 행위자들이 Dracoon.team이라는 파일 공유 솔루션에 대한 피싱 캠페인을 발견했다. 피해자가 링크에 접근하면 PDF 문서가 나타나 Microsoft 365 로그인 포털을 가장하는 공격자 제어 서버로 지시하는 보조 링크가 포함되어 있으며, 자격 증명과 쿠키를 훔치기 위한 역 프록시 역할을 한다. 공격자 제어 리버스 프록시는 합법적 인 인증 엔드 포인트 사이에 위치하고 가짜 로그인 페이지와 상호 작용하면 진정한 로그인 양식을 제공한다.
최근 위협 행위자들이 파일 공유 솔루션 Dracoon.team에 대한 피싱 캠페인을 발견했다. 피해자가 링크에 접근하면 공격자 제어 서버로 지시되는 보조 링크가 포함된 PDF 문서가 나타나, 자격 증명과 쿠키를 훔치기 위한 역 프록시를 작동시킨다. 공격자 제어 리버스 프록시는 합법적 인 인증 엔드 포인트 사이에 위치하고 가짜 로그인 페이지와 상호 작용하면 진정한 로그인 양식을 제공한다.
Trendmicro
Threat Actors Leverage File-Sharing Service and Reverse Proxies for Credential Harvesting
Recently, threat actors have found a phishing campaign for a file sharing solution called Dracoon.team.When the victim approaches the link, a PDF document appears, which includes auxiliary links indicating the attacker control server that pretends to be a Microsoft 365 login portal.The attacker control reverse proxy is located between the legitimate authentication endpoint and provides a true login form when interacting with a fake login page.
Recently, threat actors have found a phishing campaign for file sharing solutions.When the victim approaches the link, a PDF document containing the auxiliary link indicated by the attacker control server appears, operating a reverse proxy for stealing credentials and cookies.The attacker control reverse proxy is located between the legitimate authentication endpoint and provides a true login form when interacting with a fake login page.
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html