- Ründajad saavad Microsoft Office 365 MFA-st mööda minna, varastades autoriseerimiskoode või juurdepääsulube.
- Microsoft Threat Intelligence Team on jälginud pahavara kampaaniat, mis mõjutab organisatsioone Austraalias ja Kagu-Aasias.
- Häkkerid loovad uusi andmepüügirünnakute meetodeid, registreerides Windowsi seadmed Azure Active Directory's, kasutades varastatud Office 365 mandaate.
Häkkerid proovivad uut meetodit andmepüügikampaaniate ulatust laiendades kasutades varastatud Office 365 mandaate, et registreerida Windowsi seadmed Azure Active Directoryga.
Kui ründajatel on juurdepääs organisatsioonile, käivitavad nad kampaania teise laine, mille käigus saadetakse rohkem andmepüügimeile nii organisatsioonivälistele kui ka sisestele sihtmärkidele.
Sihtpiirkonnad
Microsoft 365 Threat Intelligence Team on jälginud Austraalia ja Kagu-Aasia organisatsioonidele suunatud pahavarakampaaniat.
Et saada teavet oma sihtmärkide kohta, saatsid ründajad välja andmepüügimeile, mis nägid välja nagu DocuSignilt. Kui kasutajad klõpsasid
Vaadake dokument üle nuppu, viidi nad Office 365 võltsitud sisselogimislehele, mis oli juba eeltäidetud nende kasutajanimedega„Ohvri varastatud mandaate kasutati kohe ühenduse loomiseks Exchange Online PowerShelliga, kasutades tõenäoliselt andmepüügikomplekti osana automatiseeritud skripti. Kasutades PowerShelli kaugühendust, rakendas ründaja cmdleti New-InboxRule kaudu postkasti reegli, mis kustutas teatud sõnumid e-kirja teemas või sisus olevate märksõnade alusel,“ ütles luuremeeskond esile tõstetud.
Filter kustutab automaatselt sõnumid, mis sisaldavad teatud teemaga seotud sõnu rämpsposti, andmepüügi, rämpsposti, häkkimise ja paroolide turvalisus, seega ei saa seaduslik kontokasutaja kättetoimetamata jätmise aruandeid ega IT-teatiste e-kirju, mida ta muidu oleks näinud.
Seejärel installisid ründajad oma masinasse Microsoft Outlooki ja ühendasid selle ohvriga organisatsiooni Azure Active Directory, võib-olla nõustudes Outlooki registreerimise viipaga, kui see oli esimene käivitatud.
Lõpuks, kui masin sai domeeni osaks ja meiliklient oli konfigureeritud nagu iga muu tavakasutus organisatsioonides, ohustatud kontolt pärit andmepüügimeilid võltsitud Sharepointi kutsed, mis viitavad taas võlts Office 365 sisselogimislehele, muutusid üha enam veenev.
"Ohvrid, kes sisestasid oma volikirja teise etapi andmepüügisaidil, olid sarnaselt seotud Exchange Online PowerShell ja peaaegu kohe loodi reegel vastavate meilide kustutamiseks postkastid. Reegel oli identsete omadustega, mis loodi kampaania esimese rünnakuetapi ajal," märkis meeskond.
Kuidas mööda minna
Ründajad toetusid varastatud volikirjadele; mitmel kasutajal oli aga lubatud mitmefaktoriline autentimine (MFA), mis takistas varguse toimumist.
Organisatsioonid peaksid võimaldama mitmefaktorilist autentimist kõikidele kasutajatele ja nõudma seda liitumisel seadmed Azure AD-le, samuti kaaluge Exchange Online PowerShelli keelamist lõppkasutajate, meeskonna jaoks soovitas.
Microsoft jagas ka ohtude otsimise päringuid, et aidata organisatsioonidel kontrollida, kas nende kasutajad on selle kampaania kaudu ohtu sattunud, ja soovitas kaitsjatel ka tühistada ohustatud kontodega seotud aktiivsed seansid ja märgid, kustutada ründajate loodud postkastireeglid ning keelata ja eemaldada pahatahtlikud seadmed, mis on ühendatud Azure AD.
"Hallatud seadmete nähtavuse ja kaitsete pidev täiustamine on sundinud ründajaid uurima alternatiivseid võimalusi. Kui antud juhul kasutati seadme registreerimist edasisteks andmepüügirünnakuteks, siis seadmete registreerimise võimendamine on tõusuteel, kuna on täheldatud muid kasutusjuhtumeid. Veelgi enam, selle tehnika hõlbustamiseks mõeldud pliiatsitestitööriistade kohene kättesaadavus laiendab selle kasutamist tulevikus ainult teistes osalejates, ”ütles meeskond.
Lünki, millele tähelepanu pöörata
Microsofti ohuluure analüütikud märkisid hiljuti andmepüügikampaania, mis oli suunatud sadadele ettevõtete jaoks on see katse meelitada töötajaid andma rakendusele nimega "Uuendus" juurdepääs nende Office 365-le kontosid.
"Andmepüügisõnumid eksitavad kasutajaid andma rakendusele lube, mis võivad lubada ründajatel luua postkasti reegleid, lugeda ja kirjutada e-kirju ja kalendriüksusi ning lugeda kontakte. Microsoft on rakenduse Azure AD-s desaktiveerinud ja teavitanud mõjutatud kliente," märkisid nad.
Ründajad saavad ka Office 365 mitmefaktorilisest autentimisest mööda minna, kasutades võltsrakendusi, varastades autoriseerimiskoode või hankides muul viisil oma mandaatide asemel juurdepääsulube.
Kas olete varem nende häkkerite rünnakute ohvriks langenud? Jagage oma kogemusi meiega allpool olevas kommentaaride jaotises.