- Нападателите могат да заобиколят MFA на Microsoft Office 365, като откраднат кодове за оторизация или токени за достъп.
- Екипът на Microsoft Threat Intelligence е проследил кампания от злонамерен софтуер, засягаща организации в Австралия и Югоизточна Азия.
- Хакерите създават нови методи за фишинг атаки, като регистрират устройства с Windows с Azure Active Directory чрез използване на откраднати идентификационни данни на Office 365.
Хакерите опитват нов метод за разширяване на обхвата на техните фишинг кампании като използвате откраднати идентификационни данни на Office 365, за да регистрирате Windows устройства с Azure Active Directory.
Ако нападателите имат достъп до организация, те ще стартират втора вълна от кампанията, която се състои в изпращане на повече фишинг имейли до цели извън организацията, както и вътре.
Целеви зони
Екипът на Microsoft 365 Threat Intelligence проследява кампания за злонамерен софтуер, насочена към организации в Австралия и Югоизточна Азия.
За да получат информация за целите си, нападателите изпратиха фишинг имейли, които изглеждаха като от DocuSign. Когато потребителите щракнат върху
Прегледайте документа бутон, те бяха отведени до фалшива страница за вход за Office 365, вече предварително попълнена с техните потребителски имена„Откраднатите идентификационни данни на жертвата бяха незабавно използвани за установяване на връзка с Exchange Online PowerShell, най-вероятно с помощта на автоматизиран скрипт като част от комплект за фишинг. Използвайки връзката Remote PowerShell, нападателят внедри правило за входяща кутия чрез командлета New-InboxRule, който изтрили определени съобщения въз основа на ключови думи в темата или тялото на имейл съобщението“, разузнавателният екип подчертано.
Филтърът автоматично изтрива съобщения, съдържащи определени думи, свързани с спам, фишинг, боклуци, хакване и сигурност с пароли, така че законният потребител на акаунта няма да получава отчети за липса на доставка и имейли с известия за ИТ, които иначе може да е виждал.
След това нападателите инсталираха Microsoft Outlook на собствената си машина и я свързаха с жертвата Azure Active Directory на организацията, вероятно чрез приемане на подкана за регистриране на Outlook, когато е бил за първи път стартира.
И накрая, след като машината стана част от домейна и пощенският клиент беше конфигуриран като всяка друга редовна употреба в рамките на организациите, фишинг имейлите от компрометирания акаунт фалшиви покани на Sharepoint, насочващи отново към фалшива страница за вход в Office 365, станаха повече убедителен.
„Жертвите, които са въвели идентификационните си данни на фишинг сайт от втория етап, са свързани по подобен начин Exchange Online PowerShell и почти веднага създаде правило за изтриване на имейли в съответните им входящи кутии. Правилото имаше идентични характеристики с това, създадено по време на първия етап на атаката на кампанията“, посочи екипът.
Как да заобиколите
Нападателите разчитаха на откраднати идентификационни данни; обаче няколко потребители са имали активирана многофакторна автентификация (MFA), предотвратявайки кражбата.
Организациите трябва да разрешат многофакторно удостоверяване за всички потребители и да го изискват при присъединяване устройства към Azure AD, както и да обмислите деактивирането на Exchange Online PowerShell за крайните потребители, екипа посъветван.
Microsoft също сподели заявки за търсене на заплахи, за да помогне на организациите да проверят дали техните потребители са били компрометирани чрез тази кампания и посъветва, че защитниците трябва също отменете активни сесии и токени, свързани с компрометирани акаунти, изтривайте правила за пощенска кутия, създадени от нападателите, и деактивирайте и премахвайте злонамерени устройства, присъединени към Azure AD.
„Непрекъснатото подобряване на видимостта и защитата на управляваните устройства принуди нападателите да проучат алтернативни пътища. Докато в този случай регистрацията на устройство е била използвана за допълнителни фишинг атаки, използването на регистрация на устройство е във възход, тъй като се наблюдават други случаи на употреба. Освен това, незабавната наличност на инструменти за тестване с писалка, предназначени да улеснят тази техника, само ще разшири използването й сред други участници в бъдеще“, съветва екипът.
Вратички, които да търсите
Анализаторите на Microsoft за разузнаване на заплахи наскоро отбелязаха фишинг кампания, насочена към стотици бизнеса, това е опит да подмами служителите да предоставят достъп на приложение, наречено „Надстройване“ до техния Office 365 сметки.
„Фишинг съобщенията подвеждат потребителите да предоставят на приложението разрешения, които биха могли да позволят на нападателите да създават правила за входяща кутия, да четат и пишат имейли и елементи от календара и да четат контакти. Microsoft деактивира приложението в Azure AD и уведоми засегнатите клиенти“, посочиха те.
Нападателите могат също да заобиколят многофакторното удостоверяване на Office 365, като използват фалшиви приложения, крадат кодове за оторизация или по друг начин получават токени за достъп, а не техните идентификационни данни.
Били ли сте жертва на тези атаки от хакери преди? Споделете своя опит с нас в секцията за коментари по-долу.
![Грешка Omegle Durante la Connessione al Server [6 решения]](/f/98ea0b1ef9da34dcade8f1e29fc76f64.png?width=300&height=460)
