- A támadók megkerülhetik az MFA-t a Microsoft Office 365-ben engedélyezési kódok vagy hozzáférési token ellopásával.
- A Microsoft Threat Intelligence Team nyomon követte az ausztrál és délkelet-ázsiai szervezeteket érintő rosszindulatú programok kampányát.
- A hackerek új módszereket hoznak létre az adathalász támadásokra azáltal, hogy Windows-eszközöket regisztrálnak az Azure Active Directoryban az Office 365 ellopott hitelesítő adatainak felhasználásával.
A hackerek új módszerrel próbálkoznak adathalász kampányaik hatókörének kiszélesítése az ellopott Office 365 hitelesítő adatok használatával a Windows-eszközök Azure Active Directoryban való regisztrálásához.
Ha a támadók hozzá tudnak férni egy szervezethez, elindítják a kampány második hullámát, amely abból áll, hogy több adathalász e-mailt küldenek a szervezeten kívüli és azon belüli célpontoknak.
Célterületek
A Microsoft 365 Threat Intelligence Team egy ausztráliai és délkelet-ázsiai szervezeteket célzó rosszindulatú programkampányt követett nyomon.
Célpontjaik információinak megszerzése érdekében a támadók adathalász e-maileket küldtek, amelyek úgy tűntek, mintha a DocuSigntől származnának. Amikor a felhasználók rákattintottak a Tekintse át a dokumentumot gombot, egy hamis bejelentkezési oldalra kerültek az Office 365-höz, amely már előre kitöltve a felhasználónevükkel
„Az áldozat ellopott hitelesítő adatait azonnal felhasználták az Exchange Online PowerShell-lel való kapcsolat létrehozására, valószínűleg egy adathalász készlet részeként automatizált szkriptet használva. A távoli PowerShell-kapcsolatot kihasználva a támadó beérkező levelek szabályt hajtott végre a New-InboxRule parancsmagon keresztül, törölt bizonyos üzeneteket az e-mail tárgyában vagy törzsében szereplő kulcsszavak alapján” – tette hozzá a titkosszolgálati csapat kiemelte.
A szűrő automatikusan törli azokat az üzeneteket, amelyek bizonyos kapcsolódó szavakat tartalmaznak spam, adathalászat, szemét, hackelés és jelszavas biztonság, így a jogos fiókfelhasználó nem kap kézbesítési jelentéseket és informatikai értesítő e-maileket, amelyeket egyébként láthatott volna.
A támadók ezután telepítették a Microsoft Outlook programot a saját gépükre, és összekapcsolták az áldozattal a szervezet Azure Active Directoryját, esetleg úgy, hogy elfogadja az Outlook regisztrálására vonatkozó felszólítást, amikor az először történt elindított.
Végül, miután a gép a tartomány részévé vált, és a levelezőklienst úgy konfigurálták, mint bármely más szokásos használatot a szervezeteken belül, a feltört fiókból érkező adathalász e-mailek hamis Sharepoint-meghívók, amelyek ismét egy hamis Office 365 bejelentkezési oldalra mutatnak meggyőző.
„Hasonlóan kapcsolódtak az áldozatokhoz, akik a második szakaszban lévő adathalász webhelyen írták be hitelesítési adataikat Exchange Online PowerShell, és szinte azonnal létrehoztak egy szabályt az e-mailek törlésére beérkező levelek. A szabály ugyanazokkal a jellemzőkkel bírt, mint a kampány első támadási szakaszában alkotott” – jelezte a csapat.
Hogyan lehet megkerülni
A támadók lopott igazolványokra támaszkodtak; azonban több felhasználónál engedélyezve volt a többtényezős hitelesítés (MFA), ami megakadályozta a lopás előfordulását.
A szervezeteknek lehetővé kell tenniük a többtényezős hitelesítést minden felhasználó számára, és elő kell írniuk azt a csatlakozáskor eszközöket az Azure AD-hez, valamint fontolja meg az Exchange Online PowerShell letiltását a végfelhasználók, a csapat számára tanácsolta.
A Microsoft fenyegetéskeresési lekérdezéseket is megosztott, hogy segítse a szervezeteket annak ellenőrzésében, hogy felhasználóikat feltörték-e ez a kampány, és azt tanácsolta, hogy a védelmezőknek is meg kell tenniük. visszavonja a feltört fiókokhoz kapcsolódó aktív munkameneteket és tokeneket, törölje a támadók által létrehozott postafiókszabályokat, valamint letiltja és eltávolítja a fiókhoz csatlakozott rosszindulatú eszközöket. Azure AD.
„A felügyelt eszközök láthatóságának és védelmének folyamatos javítása arra kényszerítette a támadókat, hogy alternatív utakat keressenek. Míg ebben az esetben az eszközregisztrációt további adathalász támadásokhoz használták, az eszközregisztráció kihasználása egyre növekszik, mivel más használati eseteket is megfigyeltek. Sőt, a tollas tesztelő eszközök azonnali elérhetősége, amelyek ezt a technikát könnyítik meg, a jövőben csak kiterjeszti annak használatát más szereplők körében” – tanácsolta a csapat.
Kiskapuk, amelyekre figyelni kell
A Microsoft fenyegetésekkel foglalkozó hírszerzési elemzői a közelmúltban egy adathalász kampányt jelentettek be, amely több száz embert céloz meg vállalkozások, ez egy kísérlet arra, hogy az alkalmazottakat rávegye, hogy egy „Upgrade” nevű alkalmazásnak adjanak hozzáférést az Office 365-höz. fiókok.
"Az adathalász üzenetek félrevezetik a felhasználókat, hogy olyan engedélyeket adjanak az alkalmazásnak, amelyek lehetővé teszik a támadók számára, hogy beérkező levelek szabályait hozzanak létre, e-maileket és naptárelemeket olvassanak és írhassanak, valamint névjegyeket olvassanak. A Microsoft deaktiválta az alkalmazást az Azure AD-ben, és értesítette az érintett ügyfeleket” – jelezték.
A támadók az Office 365 többtényezős hitelesítést is megkerülhetik, ha csaló alkalmazásokat használnak, jogosultsági kódokat lopnak el, vagy más módon hozzáférési tokeneket szereznek be hitelesítő adataik helyett.
Esetleg esett már áldozatául ezeknek a hackertámadásoknak? Ossza meg velünk tapasztalatait az alábbi megjegyzés részben.
![El Mejor Navegador Windows Vista rendszeren [7 legjobb lehetőség 2023-ban]](/f/df8f3999ac7fcc3637dd0ec822e8aa07.png?width=300&height=460)
![Los 7 Mejores Antivirus Validez Ilimitada [De Por Vida]](/f/5d96e237ba4fc67ea1406b88ce9128ee.jpg?width=300&height=460)
