| ID | Name |
|---|---|
| T1566.001 | Spearphishing Attachment |
| T1566.002 | Spearphishing Link |
| T1566.003 | Spearphishing via Service |
Adversaries may send spearphishing messages via third-party services in an attempt to gain access to victim systems. Spearphishing via service is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of third party services rather than directly via enterprise email channels.
All forms of spearphishing are electronically delivered social engineering targeted at a specific individual, company, or industry. In this scenario, adversaries send messages through various social media services, personal webmail, and other non-enterprise controlled services. These services are more likely to have a less-strict security policy than an enterprise. As with most kinds of spearphishing, the goal is to generate rapport with the target or get the target's interest in some way. Adversaries will create fake social media accounts and message employees for potential job opportunities. Doing so allows a plausible reason for asking about services, policies, and software that's running in an environment. The adversary can then send malicious links or attachments through these services.
A common example is to build rapport with a target via social media, then send content to a personal webmail service that the target uses on their work computer. This allows an adversary to bypass some email restrictions on the work account, and the target is more likely to open the file since it's something they were expecting. If the payload doesn't work as expected, the adversary can continue normal communications and troubleshoot with the target on how to get it working.
Angreifer können Spearphishing-Nachrichten über Dienste von Drittanbietern versenden, um sich Zugang zu den Systemen der Opfer zu verschaffen. Spearphishing über Dienste ist eine spezielle Variante des Spearphishings. Sie unterscheidet sich von anderen Formen des Spearphishings dadurch, dass sie nicht direkt über die E-Mail-Kanäle des Unternehmens, sondern über Dienste von Drittanbietern erfolgt.
Alle Formen des Spearphishings sind elektronisch übermittelte Social Engineering-Angriffe, die auf eine bestimmte Person, ein Unternehmen oder eine Branche abzielen. In diesem Szenario versenden die Angreifer Nachrichten über verschiedene Social Media-Dienste, persönliche Webmail und andere nicht vom Unternehmen kontrollierte Dienste. Bei diesen Diensten ist die Wahrscheinlichkeit grösser, dass sie weniger strenge Sicherheitsrichtlinien haben als ein Unternehmen. Wie bei den meisten Arten von Spearphishing besteht das Ziel darin, eine Beziehung zum Ziel herzustellen oder das Interesse des Ziels auf irgendeine Weise zu wecken. Die Angreifer erstellen gefälschte Konten in den sozialen Medien und schreiben Mitarbeiter an, um sie auf potenzielle Jobangebote aufmerksam zu machen. Auf diese Weise haben sie einen plausiblen Grund, nach Diensten, Richtlinien und Software zu fragen, die in einer Umgebung ausgeführt werden. Der Angreifer kann dann bösartige Links oder Anhänge über diese Dienste versenden.
Ein gängiges Beispiel ist der Aufbau einer Beziehung zu einer Zielperson über soziale Medien, um dann Inhalte an einen persönlichen Webmail-Dienst zu senden, den die Zielperson auf ihrem Arbeitscomputer verwendet. Auf diese Weise kann der Angreifer einige E-Mail-Beschränkungen des Arbeitskontos umgehen, und die Zielperson wird die Datei mit grösserer Wahrscheinlichkeit öffnen, da sie sie erwartet hat. Wenn die Nutzdaten nicht wie erwartet funktionieren, kann der Angreifer die normale Kommunikation fortsetzen und gemeinsam mit der Zielperson herausfinden, wie man sie zum Laufen bringt.
Les adversaires peuvent envoyer des messages de spearphishing via des services tiers pour tenter d'accéder aux systèmes des victimes. Le spearphishing via un service est une variante spécifique du spearphishing. Elle se distingue des autres formes de spearphishing en ce qu'elle utilise des services tiers plutôt que de passer directement par les canaux de messagerie de l'entreprise.
Toutes les formes de spearphishing sont de l'ingénierie sociale délivrée par voie électronique et visant un individu, une entreprise ou un secteur d'activité spécifique. Dans ce scénario, les adversaires envoient des messages par le biais de divers services de médias sociaux, de webmails personnels et d'autres services non contrôlés par l'entreprise. Ces services sont plus susceptibles d'avoir une politique de sécurité moins stricte que celle d'une entreprise. Comme pour la plupart des types de spearphishing, l'objectif est de générer un rapport avec la cible ou d'obtenir l'intérêt de la cible d'une manière ou d'une autre. Les adversaires créeront de faux comptes de médias sociaux et enverront des messages aux employés pour leur proposer des opportunités d'emploi potentielles. Cela permet de trouver une raison plausible pour poser des questions sur les services, les politiques et les logiciels en cours d'exécution dans un environnement. L'adversaire peut ensuite envoyer des liens ou des pièces jointes malveillantes via ces services.
Un exemple courant consiste à établir une relation avec une cible via les médias sociaux, puis à envoyer du contenu à un service de messagerie Web personnel que la cible utilise sur son ordinateur professionnel. Cela permet à l'adversaire de contourner certaines restrictions de messagerie sur le compte professionnel, et la cible est plus susceptible d'ouvrir le fichier puisqu'il s'agit de quelque chose qu'elle attendait. Si la charge utile ne fonctionne pas comme prévu, l'adversaire peut poursuivre les communications normales et résoudre les problèmes avec la cible pour qu'elle puisse fonctionner.
Gli avversari possono inviare messaggi di spearphishing tramite servizi di terzi nel tentativo di ottenere l'accesso ai sistemi delle vittime. Lo spearphishing via servizio è una variante specifica dello spearphishing. È diversa da altre forme di spearphishing in quanto impiega l'uso di servizi di terzi piuttosto che direttamente attraverso i canali email aziendali.
Tutte le forme di spearphishing sono ingegneria sociale consegnata elettronicamente e mirata ad un individuo, un'azienda o un settore specifico. In questo scenario gli avversari inviano messaggi attraverso vari servizi di social media, webmail personale e altri servizi non controllati dall'azienda. È più probabile che questi servizi abbiano una politica di sicurezza meno rigida di quella di un'azienda. Come per la maggior parte dei tipi di spearphishing, l'obiettivo è generare un rapporto con il bersaglio o ottenere l'interesse del bersaglio in qualche modo. Gli avversari creeranno falsi account di social media e manderanno messaggi ai dipendenti per potenziali opportunità di lavoro. Questo permette di avere un motivo plausibile per chiedere informazioni su servizi, politiche e software in esecuzione in un ambiente. L'avversario può poi inviare link o allegati malevoli attraverso questi servizi.
Un esempio comune è quello di costruire un rapporto con un obiettivo tramite i social media, poi inviare contenuti ad un servizio di webmail personale che l'obiettivo usa sul suo computer di lavoro. Questo permette ad un avversario di bypassare alcune restrizioni di posta elettronica sull'account di lavoro e il target è più propenso ad aprire il file perché è qualcosa che si aspettava. Se il payload non funziona come previsto, l'avversario può continuare le normali comunicazioni e risolvere i problemi con il target su come farlo funzionare.
| ID | Name | Description |
|---|---|---|
| G0130 | Ajax Security Team |
Ajax Security Team has used various social media channels to spearphish victims.[1] |
| G0016 | APT29 |
APT29 has used the legitimate mailing service Constant Contact to send phishing e-mails.[2] |
| G0070 | Dark Caracal |
Dark Caracal spearphished victims via Facebook and Whatsapp.[3] |
| G0037 | FIN6 |
FIN6 has used fake job advertisements sent via LinkedIn to spearphish targets.[4] |
| G0059 | Magic Hound |
Magic Hound used various social media channels (such as LinkedIn) as well as messaging services (such as WhatsApp) to spearphish victims.[5][6][7] |
| G0049 | OilRig | |
| G0112 | Windshift |
Windshift has used fake personas on social media to engage and target victims.[9] |
| ID | Mitigation | Description |
|---|---|---|
| M1049 | Antivirus/Antimalware |
Anti-virus can also automatically quarantine suspicious files. |
| M1021 | Restrict Web-Based Content |
Determine if certain social media sites, personal webmail services, or other service that can be used for spearphishing is necessary for business operations and consider blocking access if activity cannot be monitored well or if it poses a significant risk. |
| M1017 | User Training |
Users can be trained to identify social engineering techniques and spearphishing messages with malicious links. |
| ID | Data Source | Data Component |
|---|---|---|
| DS0015 | Application Log | Application Log Content |
| DS0029 | Network Traffic | Network Traffic Content |
| Network Traffic Flow |
Because most common third-party services used for spearphishing via service leverage TLS encryption, SSL/TLS inspection is generally required to detect the initial communication/delivery. With SSL/TLS inspection intrusion detection signatures or other security gateway appliances may be able to detect malware.
Anti-virus can potentially detect malicious documents and files that are downloaded on the user's computer. Endpoint sensing or network sensing can potentially detect malicious events once the file is opened (such as a Microsoft Word document or PDF reaching out to the internet or spawning Powershell.exe) for techniques such as Exploitation for Client Execution or usage of malicious scripts.
Da die meisten Drittanbieterdienste, die für Spearphishing über einen Dienst verwendet werden, TLS-Verschlüsselung nutzen, ist in der Regel eine SSL/TLS-Prüfung erforderlich, um die erste Kommunikation/Zustellung zu erkennen. Mit der SSL/TLS-Prüfung können Intrusion Detection Signaturen oder andere Sicherheits-Gateway-Appliances Malware erkennen.
Antivirenprogramme können möglicherweise bösartige Dokumente und Dateien erkennen, die auf den Computer des Benutzers heruntergeladen werden. Die Endpunkt- oder Netzwerkerkennung kann potenziell bösartige Ereignisse erkennen, sobald die Datei geöffnet wird (z. B. ein Microsoft Word- oder PDF-Dokument, das ins Internet gelangt oder die Powershell.exe startet), um Techniken wie [Exploitation for Client Execution] (/techniques/T1203) oder die Verwendung bösartiger Skripte zu erkennen.
Étant donné que la plupart des services tiers couramment utilisés pour le spearphishing via le service s'appuient sur le cryptage TLS, une inspection SSL/TLS est généralement nécessaire pour détecter la communication/livraison initiale. Grâce à l'inspection SSL/TLS, les signatures de détection d'intrusion ou d'autres appareils de passerelle de sécurité peuvent être en mesure de détecter les logiciels malveillants.
L'antivirus peut potentiellement détecter les documents et fichiers malveillants qui sont téléchargés sur l'ordinateur de l'utilisateur. La détection des points finaux ou du réseau peut potentiellement détecter les événements malveillants une fois que le fichier est ouvert (comme un document Microsoft Word ou PDF qui se connecte à Internet ou qui génère Powershell.exe) pour des techniques telles que l'[Exploitation for Client Execution] (/techniques/T1203) ou l'utilisation de scripts malveillants.
Poiché la maggior parte dei comuni servizi di terzi usati per lo spearphishing via servizio sfruttano la crittografia TLS, l'ispezione SSL/TLS è generalmente necessaria per rilevare la comunicazione/consegna iniziale. Con l'ispezione SSL/TLS le firme di rilevamento delle intrusioni o altri dispositivi di gateway di sicurezza possono essere in grado di rilevare il malware.
L'antivirus può potenzialmente rilevare documenti e file malevoli che vengono scaricati sul computer dell'utente. Endpoint sensing o network sensing possono potenzialmente rilevare eventi malevoli una volta che il file viene aperto (come un documento Microsoft Word o PDF che raggiunge internet o che genera Powershell.exe) per tecniche come Exploitation for Client Execution o l'uso di script malevoli.