- Útočníci mohou obejít MFA na Microsoft Office 365 krádeží autorizačních kódů nebo přístupových tokenů.
- Tým Microsoft Threat Intelligence Team sledoval kampaň malwaru postihující organizace v Austrálii a jihovýchodní Asii.
- Hackeři vytvářejí nové metody phishingových útoků registrací zařízení Windows do Azure Active Directory pomocí odcizených přihlašovacích údajů Office 365.
Hackeři se pokoušejí o novou metodu rozšíření rozsahu jejich phishingových kampaní pomocí odcizených přihlašovacích údajů Office 365 k registraci zařízení Windows do Azure Active Directory.
Pokud se útočníkům podaří získat přístup k organizaci, spustí druhou vlnu kampaně, která spočívá v rozesílání více phishingových e-mailů na cíle mimo organizaci i uvnitř.
Cílové oblasti
Tým Microsoft 365 Threat Intelligence Team sledoval malwarovou kampaň zaměřenou na organizace v Austrálii a jihovýchodní Asii.
Aby útočníci získali informace o svých cílech, rozeslali phishingové e-maily, které vypadaly jako z DocuSignu. Když uživatelé kliknou na
Přezkoumat dokument byli přesměrováni na falešnou přihlašovací stránku pro Office 365, již předvyplněnou jejich uživatelskými jmény„Ukradené přihlašovací údaje oběti byly okamžitě použity k navázání spojení s Exchange Online PowerShell, s největší pravděpodobností pomocí automatického skriptu jako součásti phishingové sady. S využitím připojení Remote PowerShell útočník implementoval pravidlo pro doručenou poštu prostřednictvím rutiny New-InboxRule, které smazali určité zprávy na základě klíčových slov v předmětu nebo těle e-mailové zprávy,“ zpravodajský tým zvýrazněno.
Filtr automaticky odstraní zprávy obsahující určitá slova související spam, phishing, nevyžádaná pošta, hackování a zabezpečení hesel, takže legitimní uživatel účtu nebude dostávat zprávy o nedoručení a e-maily s upozorněním IT, které by jinak viděl.
Útočníci poté nainstalovali Microsoft Outlook na svůj vlastní počítač a připojili jej k oběti Azure Active Directory organizace, případně přijetím výzvy k registraci Outlooku, když byla první spuštěna.
Konečně, jakmile se stroj stal součástí domény a poštovní klient byl nakonfigurován jako jakékoli jiné běžné použití v organizacích, phishingové e-maily z napadeného účtu falešné pozvánky na Sharepoint, které znovu odkazovaly na falešnou přihlašovací stránku Office 365, se staly více přesvědčivý.
„Oběti, které zadaly své přihlašovací údaje na druhý stupeň phishingové stránky, byly podobně spojeny Exchange Online PowerShell a téměř okamžitě bylo vytvořeno pravidlo pro odstranění e-mailů v jejich příslušných schránek. Pravidlo mělo stejné vlastnosti jako pravidlo vytvořené během první fáze útoku kampaně,“ uvedl tým.
Jak obejít
Útočníci spoléhali na ukradené přihlašovací údaje; několik uživatelů však mělo povolenou vícefaktorovou autentizaci (MFA), která zabránila krádeži.
Organizace by měly povolit vícefaktorovou autentizaci pro všechny uživatele a vyžadovat ji při připojování zařízení do Azure AD a také zvažte deaktivaci prostředí Exchange Online PowerShell pro koncové uživatele, tým poradil.
Microsoft také sdílel dotazy týkající se vyhledávání hrozeb, aby organizacím pomohl ověřit, zda jejich uživatelé nebyli prostřednictvím této kampaně kompromitováni, a doporučil, aby obránci také zrušit aktivní relace a tokeny spojené s napadenými účty, odstranit pravidla poštovní schránky vytvořená útočníky a zakázat a odstranit škodlivá zařízení připojená k Azure AD.
„Neustálé zlepšování viditelnosti a ochrany na spravovaných zařízeních donutilo útočníky prozkoumat alternativní cesty. Zatímco v tomto případě byla registrace zařízení použita pro další phishingové útoky, registrace zařízení využívající páku je na vzestupu, protože byly pozorovány další případy použití. Navíc okamžitá dostupnost nástrojů pro testování perem, navržených tak, aby tuto techniku usnadnily, v budoucnu pouze rozšíří její použití mezi další aktéry,“ uvedl tým.
Mezery, které je třeba hledat
Analytici hrozeb společnosti Microsoft nedávno označili phishingovou kampaň, která se zaměřovala na stovky lidí podniky, tento pokus přimět zaměstnance, aby udělili aplikaci s názvem „Upgrade“ přístup k jejich Office 365 účty.
„Phishingové zprávy klamou uživatele, aby udělili aplikaci oprávnění, která by útočníkům umožnila vytvářet pravidla doručené pošty, číst a psát e-maily a položky kalendáře a číst kontakty. Microsoft deaktivoval aplikaci v Azure AD a informoval dotčené zákazníky,“ uvedli.
Útočníci mohou také obejít Office 365 Multi-Factor Authentication pomocí podvodných aplikací, krádeží autorizačních kódů nebo jiným získáním přístupových tokenů namísto svých přihlašovacích údajů.
Stali jste se již obětí těchto útoků hackerů? Podělte se s námi o své zkušenosti v sekci komentářů níže.
