- Οι εισβολείς μπορούν να παρακάμψουν το MFA στο Microsoft Office 365 κλέβοντας κωδικούς εξουσιοδότησης ή διακριτικά πρόσβασης.
- Η Ομάδα Πληροφοριών της Microsoft Threat παρακολούθησε μια εκστρατεία κακόβουλου λογισμικού που επηρεάζει οργανισμούς στην Αυστραλία και τη Νοτιοανατολική Ασία.
- Οι χάκερ δημιουργούν νέες μεθόδους για επιθέσεις phishing καταχωρώντας συσκευές Windows στο Azure Active Directory μέσω της χρήσης κλεμμένων διαπιστευτηρίων του Office 365.
Οι χάκερ επιχειρούν μια νέα μέθοδο διευρύνοντας το εύρος των εκστρατειών phishing τους χρησιμοποιώντας κλεμμένα διαπιστευτήρια του Office 365 για την εγγραφή συσκευών Windows στο Azure Active Directory.
Εάν οι εισβολείς μπορούν να έχουν πρόσβαση σε έναν οργανισμό, θα ξεκινήσουν ένα δεύτερο κύμα της καμπάνιας, το οποίο συνίσταται στην αποστολή περισσότερων μηνυμάτων ηλεκτρονικού ψαρέματος σε στόχους εκτός του οργανισμού καθώς και εντός.
Περιοχές στόχων
Η ομάδα πληροφοριών του Microsoft 365 Threat Intelligence παρακολουθεί μια καμπάνια κακόβουλου λογισμικού που στοχεύει οργανισμούς στην Αυστραλία και τη Νοτιοανατολική Ασία.
Για να λάβουν τις πληροφορίες των στόχων τους, οι εισβολείς έστειλαν μηνύματα ηλεκτρονικού ψαρέματος που έμοιαζαν σαν να ήταν από το DocuSign. Όταν οι χρήστες έκαναν κλικ στο Έγγραφο επανεξέτασης κουμπί, μεταφέρθηκαν σε μια ψεύτικη σελίδα σύνδεσης για το Office 365, ήδη προσυμπληρωμένη με τα ονόματα χρήστη τους
«Τα κλεμμένα διαπιστευτήρια του θύματος χρησιμοποιήθηκαν αμέσως για τη δημιουργία σύνδεσης με το Exchange Online PowerShell, πιθανότατα χρησιμοποιώντας ένα αυτοματοποιημένο σενάριο ως μέρος ενός κιτ phishing. Αξιοποιώντας τη σύνδεση Remote PowerShell, ο εισβολέας εφάρμοσε έναν κανόνα εισερχομένων μέσω του cmdlet New-InboxRule που διέγραψε ορισμένα μηνύματα με βάση τις λέξεις-κλειδιά στο θέμα ή στο σώμα του μηνύματος email», η ομάδα πληροφοριών τονίζεται.
Το φίλτρο διαγράφει αυτόματα μηνύματα που περιέχουν συγκεκριμένες λέξεις που σχετίζονται με ανεπιθύμητη αλληλογραφία, ηλεκτρονικό ψάρεμα, ανεπιθύμητη αλληλογραφία, πειρατεία και ασφάλεια κωδικού πρόσβασης, επομένως ο νόμιμος χρήστης του λογαριασμού δεν θα λαμβάνει αναφορές μη παράδοσης και μηνύματα ηλεκτρονικού ταχυδρομείου ειδοποιήσεων πληροφορικής που διαφορετικά θα μπορούσε να δει.
Στη συνέχεια, οι εισβολείς εγκατέστησαν το Microsoft Outlook στον δικό τους υπολογιστή και το συνέδεσαν με το θύμα Azure Active Directory του οργανισμού, πιθανώς με την αποδοχή της προτροπής για εγγραφή του Outlook όταν ήταν για πρώτη φορά εκτοξεύτηκε.
Τέλος, μόλις το μηχάνημα έγινε μέρος του τομέα και το πρόγραμμα-πελάτη αλληλογραφίας διαμορφώθηκε όπως κάθε άλλη τακτική χρήση εντός των οργανισμών, τα μηνύματα ηλεκτρονικού ψαρέματος από τον παραβιασμένο λογαριασμό ψεύτικες προσκλήσεις του Sharepoint που δείχνουν ξανά μια ψεύτικη σελίδα σύνδεσης του Office 365 έγιναν περισσότερα πειστικός.
«Τα θύματα που εισήγαγαν τα διαπιστευτήριά τους στον ιστότοπο phishing του δεύτερου σταδίου συνδέονταν με παρόμοιο τρόπο Exchange Online PowerShell και σχεδόν αμέσως δημιουργήθηκε ένας κανόνας για τη διαγραφή μηνυμάτων ηλεκτρονικού ταχυδρομείου στα αντίστοιχα εισερχόμενα. Ο κανόνας είχε τα ίδια χαρακτηριστικά με αυτόν που δημιουργήθηκε κατά το πρώτο στάδιο της επίθεσης της εκστρατείας», ανέφερε η ομάδα.
Πώς να παρακάμψετε
Οι επιτιθέμενοι βασίστηκαν σε κλεμμένα διαπιστευτήρια. Ωστόσο, αρκετοί χρήστες είχαν ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), αποτρέποντας την κλοπή από το να συμβεί.
Οι οργανισμοί θα πρέπει να ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων για όλους τους χρήστες και να τον απαιτούν όταν συμμετέχουν συσκευές στο Azure AD, καθώς και να εξετάσετε το ενδεχόμενο απενεργοποίησης του Exchange Online PowerShell για τους τελικούς χρήστες, την ομάδα συμβούλεψε.
Η Microsoft μοιράστηκε επίσης ερωτήματα για το κυνήγι απειλών για να βοηθήσει τους οργανισμούς να ελέγξουν εάν οι χρήστες τους έχουν παραβιαστεί μέσω αυτής της καμπάνιας και ενημέρωσε ότι οι υπερασπιστές πρέπει επίσης να να ανακαλέσει ενεργές περιόδους σύνδεσης και διακριτικά που σχετίζονται με παραβιασμένους λογαριασμούς, να διαγράψει τους κανόνες γραμματοκιβωτίου που δημιουργήθηκαν από τους εισβολείς και να απενεργοποιήσει και να αφαιρέσει κακόβουλες συσκευές που είναι συνδεδεμένες στο Azure AD.
«Η συνεχής βελτίωση της ορατότητας και της προστασίας σε διαχειριζόμενες συσκευές ανάγκασε τους επιτιθέμενους να εξερευνήσουν εναλλακτικές οδούς. Ενώ σε αυτήν την περίπτωση η εγγραφή συσκευής χρησιμοποιήθηκε για περαιτέρω επιθέσεις phishing, η μόχλευση της καταχώρισης συσκευής αυξάνεται καθώς έχουν παρατηρηθεί άλλες περιπτώσεις χρήσης. Επιπλέον, η άμεση διαθεσιμότητα εργαλείων δοκιμής στυλό, σχεδιασμένων για τη διευκόλυνση αυτής της τεχνικής, θα επεκτείνει τη χρήση της μόνο σε άλλους φορείς στο μέλλον», συμβουλεύει η ομάδα.
Παραθυράκια που πρέπει να προσέξετε
Οι αναλυτές πληροφοριών απειλών της Microsoft επισήμαναν πρόσφατα μια καμπάνια phishing που στόχευε εκατοντάδες επιχειρήσεις, αυτή είναι μια προσπάθεια εξαπάτησης των εργαζομένων ώστε να παραχωρήσουν σε μια εφαρμογή που ονομάζεται "Αναβάθμιση" πρόσβαση στο Office 365 τους λογαριασμούς.
«Τα μηνύματα ηλεκτρονικού ψαρέματος παραπλανούν τους χρήστες να παραχωρήσουν στην εφαρμογή άδειες που θα μπορούσαν να επιτρέψουν στους εισβολείς να δημιουργήσουν κανόνες εισερχομένων, να διαβάζουν και να γράφουν email και στοιχεία ημερολογίου και να διαβάζουν επαφές. Η Microsoft έχει απενεργοποιήσει την εφαρμογή στο Azure AD και έχει ειδοποιήσει τους πελάτες που επηρεάζονται», ανέφεραν.
Οι εισβολείς μπορούν επίσης να παρακάμψουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων του Office 365, χρησιμοποιώντας αδίστακτες εφαρμογές, κλέβοντας κωδικούς εξουσιοδότησης ή αποκτώντας με άλλον τρόπο διακριτικά πρόσβασης αντί για τα διαπιστευτήριά τους.
Έχετε πέσει θύμα αυτών των επιθέσεων από χάκερ στο παρελθόν; Μοιραστείτε την εμπειρία σας μαζί μας στην παρακάτω ενότητα σχολίων.
