ID | Name |
---|---|
T1586.001 | Social Media Accounts |
T1586.002 | Email Accounts |
T1586.003 | Cloud Accounts |
Adversaries may compromise social media accounts that can be used during targeting. For operations incorporating social engineering, the utilization of an online persona may be important. Rather than creating and cultivating social media profiles (i.e. Social Media Accounts), adversaries may compromise existing social media accounts. Utilizing an existing persona may engender a level of trust in a potential victim if they have a relationship, or knowledge of, the compromised persona.
攻撃者は、攻撃中に使用するソーシャルメディアのアカウントを侵害することがあります。ソーシャル・エンジニアリングを取り入れた作戦では、オンライン上の人物を利用することが重要である場合があります。攻撃者は、ソーシャルメディア・プロファイル(ソーシャルメディア・アカウント)を作成・育成するよりも、既存のソーシャルメディア・アカウントを侵害する可能性があります。既存の人物を利用することで、被害者が、侵害された人物と関係があったり、その人物について知っていたりする場合、その人物に信頼を抱かせることができるかもしれません。
A variety of methods exist for compromising social media accounts, such as gathering credentials via Phishing for Information, purchasing
credentials from third-party sites, or by brute forcing credentials (ex: password reuse from breach credential dumps).[1] Prior to compromising social media accounts, adversaries may conduct Reconnaissance to inform decisions
about which accounts to compromise to further their operation.
ソーシャルメディアアカウントを侵害する方法には、フィッシングによる情報収集、第三者サイトからの認証情報の購入、認証情報のブルートフォース(例:侵害された認証情報のダンプからのパスワード再利用)など、さまざまな方法が存在します[1]。ソーシャルメディアアカウントを侵害する前に、攻撃者は偵察を行い、どのアカウントを侵害すべきか判断し、作戦を進める可能性があります。
Personas may exist on a single site or across multiple sites (ex: Facebook, LinkedIn, Twitter, etc.). Compromised social media accounts may require additional development, this
could include filling out or modifying profile information, further developing social networks, or incorporating photos.
人物は、1つのサイトに存在することも、複数のサイト(例:Facebook、LinkedIn、Twitter、Googleなど)にまたがって存在することもあります。侵害されたソーシャルメディアアカウントでは、プロフィール情報の入力や変更、ソーシャルネットワークの構築、写真の取り込みなど、さらなる設定が必要になることがあります。
Adversaries can use a compromised social media profile to create new, or hijack existing, connections to targets of interest. These connections may be direct or may include trying
to connect through others.[2][3] Compromised profiles may be leveraged during other phases of the adversary lifecycle, such as during Initial Access (ex: Spearphishing via Service).
攻撃者は、侵害されたソーシャルメディア・プロフィールを使って、関心のあるターゲットとの新たなつながりを作ったり、既存のつながりを乗っ取ったりすることができます。これらの接続は、直接的である場合もあれば、他者を通じてつながろうとする場合も含まれます。[2][3]攻撃者のライフサイクルの他の段階、例えば初期アクセス(例:サービス経由のスピアフィッシング)においても、侵害されたプロフィールは利用される可能性があります。
ID | Name | Description |
---|---|---|
G0065 | Leviathan |
Leviathan has compromised social media accounts to conduct social engineering attacks.[4] |
ID | Mitigation | Description |
---|---|---|
M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. |
ID | Data Source | Data Component | Detects |
---|---|---|---|
DS0029 | Network Traffic | Network Traffic Content |
Monitor and analyze traffic patterns and packet inspection associated to protocol(s), leveraging SSL/TLS inspection for encrypted traffic, that do not follow the expected protocol standards and traffic flows (e.g extraneous packets that do not belong to established flows, gratuitous or anomalous traffic patterns, anomalous syntax, or structure). Consider correlation with process monitoring and command line to detect anomalous processes execution and command line arguments associated to traffic patterns (e.g. monitor anomalies in use of files that do not normally initiate connections for respective protocol(s)). |
DS0021 | Persona | Social Media |
Consider monitoring social media activity related to your organization. Suspicious activity may include personas claiming to work for your organization or recently modified accounts making numerous connection requests to accounts affiliated with your organization.Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access (ex: Spearphishing via Service). |