- Napadači mogu zaobići MFA na Microsoft Office 365 krađom autorizacijskih kodova ili pristupnih tokena.
- Microsoft Threat Intelligence Team pratio je kampanju zlonamjernog softvera koji utječe na organizacije u Australiji i jugoistočnoj Aziji.
- Hakeri stvaraju nove metode phishing napada registrirajući Windows uređaje u Azure Active Directory korištenjem ukradenih vjerodajnica za Office 365.
Hakeri pokušavaju novu metodu širenje opsega svojih phishing kampanja korištenjem ukradenih vjerodajnica za Office 365 za registraciju Windows uređaja u Azure Active Directory.
Ako napadači budu u mogućnosti pristupiti organizaciji, pokrenut će drugi val kampanje, koji se sastoji od slanja više phishing e-poruka ciljevima izvan organizacije, kao i unutar organizacije.
Ciljana područja
Microsoft 365 Threat Intelligence Team prati kampanju zlonamjernog softvera usmjerenu na organizacije u Australiji i jugoistočnoj Aziji.
Kako bi dobili informacije o svojim metama, napadači su slali phishing e-poruke koje su izgledale kao da su s DocuSigna. Kada su korisnici kliknuli na
Pregledajte dokument gumb, odvedeni su na lažnu stranicu za prijavu na Office 365, već unaprijed popunjenu njihovim korisničkim imenima“Ukradene vjerodajnice žrtve odmah su korištene za uspostavljanje veze s Exchange Online PowerShell-om, najvjerojatnije koristeći automatiziranu skriptu kao dio kompleta za krađu identiteta. Koristeći Remote PowerShell vezu, napadač je implementirao pravilo pristigle pošte putem cmdleta New-InboxRule koji izbrisali određene poruke na temelju ključnih riječi u predmetu ili tijelu poruke e-pošte”, obavještajni tim istaknuto.
Filtar automatski briše poruke koje sadrže određene riječi koje se odnose na sigurnost neželjene pošte, krađe identiteta, smeća, hakiranja i lozinke, tako da legitimni korisnik računa neće primati izvješća o neisporuci i e-poruke s informatičkim obavijestima koje bi inače mogli vidjeti.
Napadači su zatim instalirali Microsoft Outlook na vlastiti stroj i povezali ga sa žrtvom Azure Active Directory organizacije, eventualno prihvaćanjem upita za registraciju Outlooka kada je prvi put bio pokrenut.
Konačno, nakon što je stroj postao dio domene i klijent e-pošte konfiguriran kao svaka druga redovita upotreba unutar organizacije, phishing e-poruke s ugroženog računa lažne Sharepoint pozivnice koje opet upućuju na lažnu stranicu za prijavu na Office 365 postale su sve više uvjerljiv.
“Žrtve koje su unijele svoje vjerodajnice na web-lokaciji druge faze phishinga bile su na sličan način povezane Exchange Online PowerShell, i gotovo odmah je stvorio pravilo za brisanje e-pošte u svojim odgovarajućim pristigle pošte. Pravilo je imalo identične karakteristike kao ono koje je stvoreno tijekom prve faze napada u kampanji”, naznačio je tim.
Kako zaobići
Napadači su se oslanjali na ukradene vjerodajnice; međutim, nekoliko korisnika imalo je omogućenu multifaktorsku provjeru autentičnosti (MFA), čime je spriječila krađu.
Organizacije bi trebale omogućiti multifaktorsku provjeru autentičnosti za sve korisnike i zahtijevati je prilikom pridruživanja uređaja na Azure AD, kao i razmislite o onemogućavanju Exchange Online PowerShell-a za krajnje korisnike, tim savjetovao.
Microsoft je također podijelio upite za traženje prijetnji kako bi pomogao organizacijama da provjere jesu li njihovi korisnici ugroženi putem ove kampanje i savjetovao da branitelji također moraju opozvati aktivne sesije i tokene povezane s kompromitiranim računima, izbrisati pravila poštanskog sandučića koje su kreirali napadači te onemogućiti i ukloniti zlonamjerne uređaje spojene na Azure AD.
“Stalno poboljšanje vidljivosti i zaštite na upravljanim uređajima natjeralo je napadače da istraže alternativne puteve. Iako je u ovom slučaju registracija uređaja korištena za daljnje phishing napade, korištenje registracije uređaja je u porastu jer su uočeni i drugi slučajevi upotrebe. Štoviše, trenutna dostupnost alata za testiranje olovkom, dizajniranih da olakšaju ovu tehniku, samo će proširiti njezinu upotrebu među ostalim akterima u budućnosti”, savjetuje tim.
Rupe na koje treba obratiti pažnju
Microsoftovi analitičari za obavještavanje o prijetnjama nedavno su označili kampanju krađe identiteta koja je ciljala na stotine poduzeća, ovo je pokušaj prevariti zaposlenike da aplikaciji pod nazivom "Nadogradnja" dodijele pristup njihovom Office 365 račune.
“Poruke za krađu identiteta dovode korisnike u zabludu da aplikaciji daju dopuštenja koja bi mogla omogućiti napadačima da kreiraju pravila za pristiglu poštu, čitaju i pišu e-poštu i stavke kalendara te čitaju kontakte. Microsoft je deaktivirao aplikaciju u Azure AD i obavijestio pogođene kupce”, naveli su.
Napadači također mogu zaobići Office 365 višefaktorsku autentifikaciju korištenjem lažnih aplikacija, krađom autorizacijskih kodova ili na drugi način dobivanjem pristupnih tokena umjesto njihovih vjerodajnica.
Jeste li već bili žrtvom ovih hakerskih napada? Podijelite svoje iskustvo s nama u odjeljku za komentare ispod.
