- Hyökkääjät voivat ohittaa MFA: n Microsoft Office 365:ssä varastamalla valtuutuskoodeja tai käyttöoikeuksia.
- Microsoft Threat Intelligence Team on seurannut haittaohjelmien kampanjaa, joka vaikuttaa organisaatioihin Australiassa ja Kaakkois-Aasiassa.
- Hakkerit luovat uusia menetelmiä tietojenkalasteluhyökkäysten tekemiseen rekisteröimällä Windows-laitteita Azure Active Directoryyn käyttämällä varastettuja Office 365 -tunnuksia.
Hakkerit kokeilevat uutta menetelmää laajentamalla tietojenkalastelukampanjoidensa laajuutta käyttämällä varastettuja Office 365 -tunnuksia Windows-laitteiden rekisteröimiseen Azure Active Directoryyn.
Jos hyökkääjät pääsevät käsiksi organisaatioon, he käynnistävät kampanjan toisen aallon, joka koostuu tietojenkalasteluviestien lähettämisestä organisaation ulkopuolisille ja sisäisille kohteille.
Kohdealueet
Microsoft 365 Threat Intelligence Team on seurannut haittaohjelmakampanjaa, joka on kohdistettu Australian ja Kaakkois-Aasian organisaatioihin.
Saadakseen tietoja kohteistaan hyökkääjät lähettivät tietojenkalasteluviestejä, jotka näyttivät olevan DocuSigniltä. Kun käyttäjät napsauttavat
Tarkista asiakirja -painiketta, heidät ohjattiin Office 365:n väärennetylle kirjautumissivulle, joka oli jo esitäytetty heidän käyttäjänimillään"Uhrin varastettuja tunnistetietoja käytettiin välittömästi yhteyden luomiseen Exchange Online PowerShelliin, todennäköisesti käyttämällä automaattista komentosarjaa osana tietojenkalastelupakettia. Hyödyntämällä Remote PowerShell -yhteyttä hyökkääjä otti käyttöön postilaatikkosäännön New-InboxRule-cmdlet-komennolla, joka poisti tiettyjä viestejä sähköpostiviestin aiheen tai tekstin avainsanojen perusteella", tiedustelutiimi korostettu.
Suodatin poistaa automaattisesti viestit, jotka sisältävät tiettyjä aiheeseen liittyviä sanoja roskaposti, tietojenkalastelu, roskaposti, hakkerointi ja salasanasuojaus, joten laillinen tilin käyttäjä ei saa toimittamatta jättämisraportteja ja IT-ilmoitussähköposteja, jotka he olisivat muuten nähneet.
Tämän jälkeen hyökkääjät asensivat Microsoft Outlookin omalle koneelleen ja yhdistivät sen uhriin organisaation Azure Active Directoryssa, mahdollisesti hyväksymällä kehotteen rekisteröidä Outlook, kun se oli ensimmäinen käynnistetty.
Lopuksi, kun koneesta tuli osa toimialuetta ja sähköpostiohjelma määritettiin kuten mikä tahansa muu tavallinen käyttö organisaatioissa, Tietojenkalasteluviestit vaarantuneen tilin väärennetyistä Sharepoint-kutsuista, jotka osoittavat jälleen väärennetylle Office 365 -kirjautumissivulle, lisääntyivät vakuuttava.
”Uhrit, jotka syöttelivät tunnistetietonsa toisen vaiheen tietojenkalastelusivustolla, olivat samalla tavalla yhteydessä Exchange Online PowerShell, ja melkein heti luotiin sääntö sähköpostien poistamiseksi postilaatikot. Säännöllä oli identtiset ominaisuudet kuin kampanjan ensimmäisessä hyökkäysvaiheessa luodulla säännöllä, tiimi kertoi.
Kuinka ohittaa
Hyökkääjät luottivat varastettuihin valtuustietoihin; useilla käyttäjillä oli kuitenkin käytössä monitekijätodennus (MFA), mikä esti varkauden tapahtumisen.
Organisaatioiden tulee mahdollistaa monitekijätodennus kaikille käyttäjille ja vaatia sitä liittyessään laitteita Azure AD: hen, sekä harkitse Exchange Online PowerShellin poistamista käytöstä loppukäyttäjiltä, tiimiltä neuvoi.
Microsoft jakoi myös uhkien metsästyskyselyitä auttaakseen organisaatioita tarkistamaan, onko heidän käyttäjiään vaarantunut tämän kampanjan kautta, ja kehotti puolustajien myös peruuttaa vaarantuneisiin tileihin liittyvät aktiiviset istunnot ja tunnukset, poistaa hyökkääjien luomat postilaatikkosäännöt sekä poistaa käytöstä ja poistaa haitalliset laitteet, jotka on liitetty Azure AD.
"Hallittujen laitteiden näkyvyyden ja suojausten jatkuva parantaminen on pakottanut hyökkääjät etsimään vaihtoehtoisia tapoja. Vaikka tässä tapauksessa laiterekisteröintiä käytettiin uusiin tietojenkalasteluhyökkäuksiin, laiterekisteröinnin hyödyntäminen on lisääntymässä muiden käyttötapausten havaitsemisen myötä. Lisäksi kynätestaustyökalujen välitön saatavuus, jotka on suunniteltu helpottamaan tätä tekniikkaa, vain laajentaa sen käyttöä muiden toimijoiden kesken tulevaisuudessa", tiimi neuvoi.
Porsaanreikiä, joita kannattaa etsiä
Microsoftin uhkatiedon analyytikot ilmoittivat äskettäin tietojenkalastelukampanjasta, joka kohdistui satoihin yrityksissä, tämä yritys huijaa työntekijöitä myöntämään "Upgrade"-nimiselle sovellukselle pääsyn heidän Office 365:een tilit.
Tietojenkalasteluviestit johdattavat käyttäjät harhaan myöntämään sovellukselle lupia, joiden avulla hyökkääjät voivat luoda postilaatikon sääntöjä, lukea ja kirjoittaa sähköposteja ja kalenterikohteita sekä lukea yhteystietoja. Microsoft on poistanut sovelluksen käytöstä Azure AD: ssa ja ilmoittanut asiasta asiakkaille", he kertoivat.
Hyökkääjät voivat myös ohittaa Office 365:n monivaiheisen todennuksen käyttämällä vääriä sovelluksia, varastamalla valtuutuskoodeja tai muulla tavoin hankkimalla käyttöoikeuksia valtuustietojensa sijaan.
Oletko jo aiemmin joutunut näiden hakkereiden hyökkäysten uhriksi? Jaa kokemuksesi kanssamme alla olevassa kommenttiosassa.
