- Penyerang dapat melewati MFA di Microsoft Office 365 dengan mencuri kode otorisasi atau token akses.
- Tim Intelijen Ancaman Microsoft telah melacak kampanye malware yang memengaruhi organisasi di Australia dan Asia Tenggara.
- Peretas membuat metode baru serangan phishing dengan mendaftarkan perangkat Windows ke Azure Active Directory melalui penggunaan kredensial Office 365 yang dicuri.
Peretas sedang mencoba metode baru untuk memperluas cakupan kampanye phishing mereka dengan menggunakan kredensial Office 365 yang dicuri untuk mendaftarkan perangkat Windows dengan Azure Active Directory.
Jika penyerang dapat mengakses organisasi, mereka akan meluncurkan kampanye gelombang kedua, yang terdiri dari mengirim lebih banyak email phishing ke target di luar organisasi maupun di dalam.
Daerah sasaran
Tim Intelijen Ancaman Microsoft 365 telah melacak kampanye malware yang menargetkan organisasi di Australia dan Asia Tenggara.
Untuk mendapatkan informasi target mereka, penyerang mengirimkan email phishing yang sepertinya berasal dari DocuSign. Ketika pengguna mengklik
Tinjau Dokumen tombol, mereka dibawa ke halaman login palsu untuk Office 365, sudah diisi sebelumnya dengan nama pengguna mereka“Kredensial korban yang dicuri segera digunakan untuk membuat koneksi dengan Exchange Online PowerShell, kemungkinan besar menggunakan skrip otomatis sebagai bagian dari kit phishing. Memanfaatkan koneksi Remote PowerShell, penyerang menerapkan aturan kotak masuk melalui cmdlet New-InboxRule yang menghapus pesan tertentu berdasarkan kata kunci dalam subjek atau isi pesan email,” tim intelijen disorot.
Filter secara otomatis menghapus pesan yang berisi kata-kata tertentu yang terkait dengan spam, phishing, sampah, peretasan, dan keamanan kata sandi, sehingga pengguna akun yang sah tidak akan menerima laporan tidak terkirim dan email pemberitahuan TI yang mungkin mereka lihat.
Penyerang kemudian menginstal Microsoft Outlook di mesin mereka sendiri dan menghubungkannya ke korban Azure Active Directory organisasi, mungkin dengan menerima permintaan untuk mendaftarkan Outlook saat pertama kali diluncurkan.
Akhirnya, setelah mesin menjadi bagian dari domain dan klien email dikonfigurasi seperti penggunaan biasa lainnya dalam organisasi, email phishing dari akun palsu undangan Sharepoint palsu yang menunjuk lagi ke halaman login Office 365 palsu menjadi lebih persuasif.
“Korban yang memasukkan kredensial mereka di situs phishing tahap kedua juga terhubung dengan Exchange Online PowerShell, dan segera membuat aturan untuk menghapus email di masing-masing kotak masuk Aturan tersebut memiliki karakteristik yang identik dengan yang dibuat selama tahap pertama serangan kampanye, ”kata tim tersebut.
Bagaimana cara melewati
Para penyerang mengandalkan kredensial yang dicuri; namun, beberapa pengguna mengaktifkan otentikasi multifaktor (MFA), mencegah pencurian terjadi.
Organisasi harus mengaktifkan otentikasi multifaktor untuk semua pengguna dan memerlukannya saat bergabung perangkat ke Azure AD, serta pertimbangkan untuk menonaktifkan Exchange Online PowerShell untuk pengguna akhir, tim disarankan.
Microsoft juga membagikan pertanyaan perburuan ancaman untuk membantu organisasi memeriksa apakah penggunanya telah disusupi melalui kampanye ini dan menyarankan agar para pembela HAM juga mencabut sesi aktif dan token yang terkait dengan akun yang disusupi, menghapus aturan kotak surat yang dibuat oleh penyerang, dan menonaktifkan serta menghapus perangkat jahat yang tergabung dalam Azure AD.
“Peningkatan visibilitas dan perlindungan yang berkelanjutan pada perangkat yang dikelola telah memaksa penyerang untuk menjelajahi jalan alternatif. Sementara dalam kasus ini pendaftaran perangkat digunakan untuk serangan phishing lebih lanjut, pemanfaatan pendaftaran perangkat sedang meningkat karena kasus penggunaan lain telah diamati. Selain itu, ketersediaan alat pen-testing, yang dirancang untuk memfasilitasi teknik ini, hanya akan memperluas penggunaannya di aktor lain di masa depan, ”saran tim.
Celah yang harus diwaspadai
Analis intelijen ancaman Microsoft baru-baru ini menandai kampanye phishing yang menargetkan ratusan bisnis, ini adalah upaya untuk mengelabui karyawan agar memberikan akses aplikasi bernama "Tingkatkan" ke Office 365 mereka akun.
“Pesan phishing menyesatkan pengguna untuk memberikan izin aplikasi yang memungkinkan penyerang membuat aturan kotak masuk, membaca dan menulis email dan item kalender, serta membaca kontak. Microsoft telah menonaktifkan aplikasi di Azure AD dan telah memberi tahu pelanggan yang terpengaruh,” mereka menunjukkan.
Penyerang juga dapat melewati Otentikasi Multi-Faktor Office 365 dengan menggunakan aplikasi jahat, mencuri kode otorisasi, atau mendapatkan token akses daripada kredensial mereka.
Apakah Anda pernah menjadi korban serangan peretas ini sebelumnya? Bagikan pengalaman Anda dengan kami di bagian komentar di bawah.
![Cele mai bune camere video auto cu GPS [Ghid 2021]](/f/222ca02342f16a975f3ef544fa5229d1.jpg?width=300&height=460)
![Antivirus gratis pentru un an [Top 4 solusi ideale]](/f/b3bd92fbab1746b4e38a30016725c7b2.jpg?width=300&height=460)