- Angreifer können MFA auf Microsoft Office 365 umgehen, indem sie Autorisierungscodes oder Zugriffstoken stehlen.
- Das Microsoft Threat Intelligence Team hat eine Malware-Kampagne verfolgt, die Unternehmen in Australien und Südostasien betrifft.
- Hacker entwickeln neue Methoden für Phishing-Angriffe, indem sie Windows-Geräte mit gestohlenen Office 365-Anmeldeinformationen bei Azure Active Directory registrieren.
Hacker versuchen eine neue Methode Erweiterung des Umfangs ihrer Phishing-Kampagnen durch die Verwendung gestohlener Office 365-Anmeldeinformationen zur Registrierung von Windows-Geräten bei Azure Active Directory.
Wenn Angreifer auf eine Organisation zugreifen können, starten sie eine zweite Welle der Kampagne, die darin besteht, mehr Phishing-E-Mails sowohl an Ziele außerhalb als auch innerhalb der Organisation zu senden.
Zielgebiete
Das Microsoft 365 Threat Intelligence Team hat eine Malware-Kampagne verfolgt, die auf Organisationen in Australien und Südostasien abzielt.
Um an die Informationen ihrer Ziele zu gelangen, verschickten die Angreifer Phishing-E-Mails, die aussahen, als stammten sie von DocuSign. Wenn Benutzer auf die klickten
Dokument überprüfen Schaltfläche wurden sie zu einer gefälschten Anmeldeseite für Office 365 weitergeleitet, die bereits mit ihren Benutzernamen vorausgefüllt war„Die gestohlenen Zugangsdaten des Opfers wurden sofort verwendet, um eine Verbindung mit Exchange Online PowerShell herzustellen, höchstwahrscheinlich unter Verwendung eines automatisierten Skripts als Teil eines Phishing-Kits. Der Angreifer nutzte die Remote-PowerShell-Verbindung und implementierte eine Posteingangsregel über das Cmdlet New-InboxRule, das bestimmte Nachrichten basierend auf Schlüsselwörtern im Betreff oder Text der E-Mail-Nachricht gelöscht“, so das Geheimdienstteam hervorgehoben.
Der Filter löscht automatisch Nachrichten, die bestimmte Wörter enthalten Spam, Phishing, Junk, Hacking und Passwortsicherheit, sodass der legitime Kontobenutzer keine Unzustellbarkeitsberichte und IT-Benachrichtigungs-E-Mails erhält, die er andernfalls möglicherweise gesehen hätte.
Anschließend installierten die Angreifer Microsoft Outlook auf ihrem eigenen Rechner und verbanden ihn mit dem Opfer Azure Active Directory der Organisation, möglicherweise indem Sie die Aufforderung zur Registrierung von Outlook beim ersten Mal akzeptieren gestartet.
Sobald der Computer schließlich Teil der Domäne wurde und der E-Mail-Client wie jede andere reguläre Verwendung innerhalb der Organisationen konfiguriert wurde, Die Phishing-E-Mails von den gefälschten Sharepoint-Einladungen des kompromittierten Kontos, die erneut auf eine gefälschte Office 365-Anmeldeseite verweisen, wurden mehr überzeugend.
„Opfer, die ihre Zugangsdaten auf der Phishing-Site der zweiten Stufe eingegeben haben, wurden ähnlich in Verbindung gebracht Exchange Online PowerShell und hatte fast sofort eine Regel erstellt, um E-Mails in ihrem jeweiligen zu löschen Posteingänge. Die Regel hatte identische Eigenschaften wie die, die während der ersten Phase des Angriffs der Kampagne erstellt wurde“, gab das Team an.
Wie umgehen
Die Angreifer verließen sich auf gestohlene Zugangsdaten; Bei mehreren Benutzern war jedoch die Multifaktor-Authentifizierung (MFA) aktiviert, um den Diebstahl zu verhindern.
Organisationen sollten die mehrstufige Authentifizierung für alle Benutzer aktivieren und beim Beitritt verlangen Geräten an Azure AD sowie das Deaktivieren von Exchange Online PowerShell für Endbenutzer, das Team, erwägen geraten.
Microsoft hat auch Abfragen zur Bedrohungssuche geteilt, um Organisationen dabei zu helfen, zu überprüfen, ob ihre Benutzer über diese Kampagne kompromittiert wurden, und hat darauf hingewiesen, dass dies auch Verteidiger tun müssen Widerrufen Sie aktive Sitzungen und Token, die mit kompromittierten Konten verknüpft sind, löschen Sie Postfachregeln, die von den Angreifern erstellt wurden, und deaktivieren und entfernen Sie bösartige Geräte, die mit dem verbunden sind Azure AD.
„Die kontinuierliche Verbesserung der Sichtbarkeit und des Schutzes auf verwalteten Geräten hat Angreifer gezwungen, alternative Wege zu erkunden. Während in diesem Fall die Geräteregistrierung für weitere Phishing-Angriffe verwendet wurde, nimmt die Nutzung der Geräteregistrierung zu, da andere Anwendungsfälle beobachtet wurden. Darüber hinaus wird die sofortige Verfügbarkeit von Pen-Testing-Tools, die diese Technik erleichtern sollen, ihre Nutzung in Zukunft auf andere Akteure ausdehnen“, riet das Team.
Schlupflöcher, nach denen man Ausschau halten sollte
Die Threat-Intelligence-Analysten von Microsoft haben kürzlich eine Phishing-Kampagne gemeldet, die auf Hunderte von Angriffen abzielte Unternehmen, dies ist ein Versuch, Mitarbeiter dazu zu bringen, einer App namens „Upgrade“ Zugriff auf ihr Office 365 zu gewähren Konten.
„Die Phishing-Nachrichten verleiten Benutzer dazu, der App Berechtigungen zu erteilen, die es Angreifern ermöglichen könnten, Posteingangsregeln zu erstellen, E-Mails und Kalendereinträge zu lesen und zu schreiben und Kontakte zu lesen. Microsoft hat die App in Azure AD deaktiviert und betroffene Kunden benachrichtigt“, gaben sie an.
Angreifer können die Office 365 Multi-Factor Authentication auch umgehen, indem sie betrügerische Anwendungen verwenden, Autorisierungscodes stehlen oder auf andere Weise Zugriffstoken anstelle ihrer Anmeldeinformationen erlangen.
Sind Sie schon einmal Opfer dieser Hackerangriffe geworden? Teilen Sie Ihre Erfahrungen mit uns im Kommentarbereich unten.
