- हमलावर Microsoft Office 365 पर प्राधिकरण कोड या एक्सेस टोकन चुराकर MFA को बायपास कर सकते हैं।
- Microsoft थ्रेट इंटेलिजेंस टीम ने ऑस्ट्रेलिया और दक्षिण पूर्व एशिया में संगठनों को प्रभावित करने वाले मैलवेयर के एक अभियान को ट्रैक किया है।
- चोरी किए गए Office 365 क्रेडेंशियल्स के उपयोग के माध्यम से Azure सक्रिय निर्देशिका के साथ Windows उपकरणों को पंजीकृत करके हैकर्स फ़िशिंग हमलों के नए तरीके बना रहे हैं।
हैकर्स एक नया तरीका आजमा रहे हैं अपने फ़िशिंग अभियानों का दायरा बढ़ाना Azure सक्रिय निर्देशिका के साथ Windows उपकरणों को पंजीकृत करने के लिए चोरी किए गए Office 365 क्रेडेंशियल्स का उपयोग करके।
यदि हमलावर किसी संगठन तक पहुँचने में सक्षम हैं, तो वे अभियान की दूसरी लहर शुरू करेंगे, जिसमें संगठन के बाहर और साथ ही भीतर के लक्ष्यों को अधिक फ़िशिंग ईमेल भेजना शामिल है।
लक्षित क्षेत्र
Microsoft 365 थ्रेट इंटेलिजेंस टीम ऑस्ट्रेलिया और दक्षिण पूर्व एशिया में संगठनों को लक्षित करने वाले एक मैलवेयर अभियान पर नज़र रख रही है।
अपने लक्ष्य की जानकारी प्राप्त करने के लिए, हमलावरों ने फ़िशिंग ईमेल भेजे, जो ऐसा लग रहा था कि वे डॉक्यूमेंटसाइन से थे। जब उपयोगकर्ताओं ने पर क्लिक किया
दस्तावेज़ की समीक्षा करें बटन, उन्हें Office 365 के लिए एक नकली लॉगिन पृष्ठ पर ले जाया गया, जो पहले से ही उनके उपयोगकर्ता नामों से भरा हुआ था"पीड़ित की चोरी की गई साख का उपयोग तुरंत एक्सचेंज ऑनलाइन पावरशेल के साथ संबंध स्थापित करने के लिए किया गया था, सबसे अधिक संभावना एक फ़िशिंग किट के हिस्से के रूप में एक स्वचालित स्क्रिप्ट का उपयोग कर रही थी। रिमोट पॉवरशेल कनेक्शन का लाभ उठाते हुए, हमलावर ने न्यू-इनबॉक्सरूल सीएमडीलेट के माध्यम से एक इनबॉक्स नियम लागू किया ईमेल संदेश के विषय या मुख्य भाग में खोजशब्दों के आधार पर कुछ संदेशों को हटा दिया, "खुफिया टीम हाइलाइट किया गया।
फ़िल्टर से संबंधित कुछ शब्दों वाले संदेशों को स्वचालित रूप से हटा देता है स्पैम, फ़िशिंग, जंक, हैकिंग और पासवर्ड सुरक्षा, इसलिए वैध खाता उपयोगकर्ता को गैर-डिलीवरी रिपोर्ट और आईटी अधिसूचना ईमेल प्राप्त नहीं होंगे जो उन्होंने अन्यथा देखा होगा।
फिर हमलावरों ने माइक्रोसॉफ्ट आउटलुक को अपनी मशीन पर स्थापित किया और इसे पीड़ित से जोड़ा संगठन की Azure सक्रिय निर्देशिका, संभवतः आउटलुक को पंजीकृत करने के संकेत को स्वीकार करके जब यह पहली बार था लॉन्च किया गया।
अंत में, एक बार जब मशीन डोमेन का हिस्सा बन गई और मेल क्लाइंट को संगठनों के भीतर किसी अन्य नियमित उपयोग की तरह कॉन्फ़िगर किया गया, छेड़छाड़ किए गए खाते से फ़िशिंग ईमेल नकली शेयरपॉइंट निमंत्रण फिर से एक नकली Office 365 लॉगिन पृष्ठ की ओर इशारा करते हुए और अधिक हो गए प्रेरक।
"दूसरे चरण की फ़िशिंग साइट पर अपनी साख दर्ज करने वाले पीड़ितों को इसी तरह से जोड़ा गया था एक्सचेंज ऑनलाइन पावरशेल, और लगभग तुरंत ही उनके संबंधित ईमेल को हटाने के लिए एक नियम बनाया गया था इनबॉक्स। अभियान के हमले के पहले चरण के दौरान बनाए गए नियम में समान विशेषताएं थीं, "टीम ने संकेत दिया।
बायपास कैसे करें
हमलावरों ने चोरी की साख पर भरोसा किया; हालाँकि, कई उपयोगकर्ताओं के पास मल्टीफ़ैक्टर प्रमाणीकरण (एमएफए) सक्षम था, जिससे चोरी होने से रोका जा सके।
संगठनों को सभी उपयोगकर्ताओं के लिए बहु-कारक प्रमाणीकरण सक्षम करना चाहिए और शामिल होने पर इसकी आवश्यकता होती है Azure AD के लिए उपकरण, साथ ही अंतिम उपयोगकर्ताओं, टीम के लिए Exchange ऑनलाइन पावरशेल को अक्षम करने पर विचार करें सलाह दी।
Microsoft ने खतरों के शिकार प्रश्नों को भी साझा किया ताकि संगठनों को यह जाँचने में मदद मिल सके कि क्या उनके उपयोगकर्ताओं के साथ इस अभियान के माध्यम से समझौता किया गया है और सलाह दी है कि रक्षकों को भी करना चाहिए छेड़छाड़ किए गए खातों से जुड़े सक्रिय सत्रों और टोकनों को निरस्त करें, हमलावरों द्वारा बनाए गए मेलबॉक्स नियमों को हटा दें, और इसमें शामिल दुर्भावनापूर्ण उपकरणों को अक्षम और हटा दें अज़ूर ई.
"प्रबंधित उपकरणों पर दृश्यता और सुरक्षा के निरंतर सुधार ने हमलावरों को वैकल्पिक रास्ते तलाशने के लिए मजबूर किया है। जबकि इस मामले में डिवाइस पंजीकरण का उपयोग आगे फ़िशिंग हमलों के लिए किया गया था, डिवाइस पंजीकरण का लाभ बढ़ रहा है क्योंकि अन्य उपयोग के मामले देखे गए हैं। इसके अलावा, इस तकनीक को सुविधाजनक बनाने के लिए डिज़ाइन किए गए पेन-टेस्टिंग टूल की तत्काल उपलब्धता, भविष्य में अन्य अभिनेताओं में इसके उपयोग का विस्तार करेगी, ”टीम ने सलाह दी।
तलाशने के लिए कमियां
Microsoft के ख़तरनाक ख़ुफ़िया विश्लेषकों ने हाल ही में एक फ़िशिंग अभियान को हरी झंडी दिखाई, जिसने सैकड़ों. को लक्षित किया व्यवसायों के लिए, यह कर्मचारियों को उनके Office 365. में "अपग्रेड" नाम के ऐप को एक्सेस प्रदान करने के लिए धोखा देने का एक प्रयास है हिसाब किताब।
"फ़िशिंग संदेश उपयोगकर्ताओं को ऐप अनुमतियां देने में गुमराह करते हैं जो हमलावरों को इनबॉक्स नियम बनाने, ईमेल और कैलेंडर आइटम पढ़ने और लिखने और संपर्क पढ़ने की अनुमति दे सकते हैं। Microsoft ने Azure AD में ऐप को निष्क्रिय कर दिया है और प्रभावित ग्राहकों को सूचित कर दिया है, ”उन्होंने संकेत दिया।
हमलावर नकली एप्लिकेशन का उपयोग करके, प्राधिकरण कोड चुराकर, या अन्यथा अपने क्रेडेंशियल के बजाय एक्सेस टोकन प्राप्त करके Office 365 मल्टी-फैक्टर ऑथेंटिकेशन को बायपास कर सकते हैं।
क्या आप पहले भी हैकर्स के इन हमलों के शिकार हुए हैं? नीचे दिए गए कमेंट सेक्शन में अपना अनुभव हमारे साथ साझा करें।
![विंडोज 10, 8.1 में डेस्कटॉप काला हो जाता है [फिक्स]](/f/f2426708d9aec3c38ffc3c7ddbdf2d98.png?width=300&height=460)
