T1608.005

Stage Capabilities: Link Target

Adversaries may put in place resources that are referenced by a link that can be used during targeting. An adversary may rely upon a user clicking a malicious link in order to divulge information (including credentials) or to gain execution, as in Malicious Link. Links can be used for spearphishing, such as sending an email accompanied by social engineering text to coax the user to actively click or copy and paste a URL into a browser. Prior to a phish for information (as in Spearphishing Link) or a phish to gain initial access to a system (as in Spearphishing Link), an adversary must set up the resources for a link target for the spearphishing link.

攻撃者は、攻撃中にリンクによって参照されるリソースを配置することがあります。攻撃者は、「悪意のあるリンク」のように、情報(認証情報を含む)を漏洩させるため、あるいは実行権限を得るために、ユーザが悪意のあるリンクをクリックすることを当てにすることがあります。リンクは、ソーシャルエンジニアリングのテキストを添えた電子メールを送信して、ユーザーが積極的にクリックしたり、URLをブラウザにコピー&ペーストするように誘導するなど、スピアフィッシングに使用されることがあります。スピアフィッシング・リンクのように情報を得るためのフィッシングや、システムへの初期アクセスを得るためのフィッシングの前に、攻撃者はフィッシング・リンクのリンク先にリソースを設置する必要があります。

Typically, the resources for a link target will be an HTML page that may include some client-side script such as JavaScript to decide what content to serve to the user. Adversaries may clone legitimate sites to serve as the link target, this can include cloning of login pages of legitimate web services or organization login pages in an effort to harvest credentials during Spearphishing Link.[1][2] Adversaries may also Upload Malware and have the link target point to malware for download/execution by the user.

一般的に、リンクターゲットのリソースはHTMLページであり、その中にはJavaScriptのようなクライアント側のスクリプトが含まれていて、ユーザーにどのコンテンツを提供するかを決定している場合があります。攻撃者は、リンク先となる正規のサイトを偽造することもあり、これには、スピアフィッシングのリンク中に認証情報を取得するために、正規のウェブサービスのログインページや組織のログインページを偽造することもあります[1][2]。また、攻撃者は不正プログラムをアップロードし、ユーザーがダウンロード/実行できるようにリンク先に不正プログラムを設置することもあります。

Adversaries may purchase domains similar to legitimate domains (ex: homoglyphs, typosquatting, different top-level domain, etc.) during acquisition of infrastructure (Domains) to help facilitate Malicious Link. Link shortening services can also be employed. Adversaries may also use free or paid accounts on Platform-as-a-Service providers to host link targets while taking advantage of the widely trusted domains of those providers to avoid being blocked.[3][4][5]

攻撃者は、インフラ(ドメイン)を取得する際に、正規のドメインと類似したドメイン(例:ホモグリフ、タイポスクワッティング、異なるトップレベルドメインなど)を購入し、悪質なリンクをクリックされやすくすることがあります。また、リンク短縮サービスが悪用されることもあります。攻撃者は、Platform-as-a-Serviceプロバイダーの無料または有料のアカウントを使用してリンク先に設定し、プロバイダーから広く信頼されているドメインを利用してブロックされないようにすることもあります[3][4][5]。

ID: T1608.005
Sub-technique of:  T1608
Platforms: PRE
Version: 1.2
Created: 17 March 2021
Last Modified: 20 October 2022

Procedure Examples

ID Name Description
G0122 Silent Librarian

Silent Librarian has cloned victim organization login pages and staged them for later use in credential harvesting campaigns. Silent Librarian has also made use of a variety of URL shorteners for these staged websites.[6][1][2]

Mitigations

ID Mitigation Description
M1056 Pre-compromise

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.

Detection

ID Data Source Data Component Detects
DS0035 Internet Scan Response Content

If infrastructure or patterns in malicious web content have been previously identified, internet scanning may uncover when an adversary has staged web content to make it accessible for targeting.Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on other phases of the adversary lifecycle, such as during Spearphishing Link , Spearphishing Link , or Malicious Link .

References