- תוקפים יכולים לעקוף את MFA ב-Microsoft Office 365 על ידי גניבת קודי הרשאה או אסימוני גישה.
- צוות מודיעין האיומים של מיקרוסופט עקב אחר מסע פרסום של תוכנות זדוניות המשפיעות על ארגונים באוסטרליה ובדרום מזרח אסיה.
- האקרים יוצרים שיטות חדשות להתקפות דיוג על ידי רישום מכשירי Windows עם Azure Active Directory באמצעות שימוש באישורי Office 365 גנובים.
האקרים מנסים שיטה חדשה של להרחיב את היקף מסעות הפרסום שלהם על ידי שימוש באישורים גנובים של Office 365 כדי לרשום מכשירי Windows עם Azure Active Directory.
אם תוקפים מצליחים לגשת לארגון, הם ישיקו גל שני של הקמפיין, הכולל שליחת יותר מיילים דיוגים למטרות מחוץ לארגון וגם בתוכו.
אזורי יעד
צוות Microsoft 365 Threat Intelligence עוקב אחר מסע פרסום של תוכנות זדוניות המתמקדות בארגונים באוסטרליה ובדרום מזרח אסיה.
כדי לקבל מידע על המטרות שלהם, התוקפים שלחו מיילים דיוגים שנראו כאילו הם מ-DocuSign. כאשר משתמשים לחצו על עיין במסמך כפתור, הם נלקחו לדף התחברות מזויף עבור Office 365, שכבר מלא מראש בשמות המשתמש שלהם
"האישורים הגנובים של הקורבן שימשו מיד ליצירת חיבור עם Exchange Online PowerShell, ככל הנראה באמצעות סקריפט אוטומטי כחלק מערכת דיוג. תוך מינוף חיבור PowerShell המרוחק, התוקף יישם כלל תיבת דואר נכנס באמצעות ה-cmdlet New-InboxRule מחק הודעות מסוימות על סמך מילות מפתח בנושא או בגוף הודעת האימייל", צוות המודיעין מודגש.
המסנן מוחק אוטומטית הודעות המכילות מילים מסוימות הקשורות אליהן ספאם, פישינג, זבל, פריצה ואבטחת סיסמאות, כך שמשתמש החשבון הלגיטימי לא יקבל דוחות אי-מסירה והודעות אימייל של הודעות IT שאולי היו רואים אחרת.
לאחר מכן התוקפים התקינו את Microsoft Outlook במחשב שלהם וחיברו אותו לקורבן Azure Active Directory של הארגון, אולי על ידי קבלת הנחיה לרשום את Outlook כשהייתה הראשונה הושק.
לבסוף, ברגע שהמכונה הפכה לחלק מהדומיין ולקוח הדואר הוגדר כמו כל שימוש רגיל אחר בתוך הארגונים, הודעות הדיוג מהחשבון שנפרץ הזמנות Sharepoint מזויפות המצביעות שוב על דף התחברות מזויף של Office 365 הפכו יותר מְשַׁכנֵעַ.
"קורבנות שהזינו את האישורים שלהם באתר הדיוג בשלב השני היו קשורים באופן דומה עם Exchange Online PowerShell, וכמעט מיד נוצר כלל למחיקת מיילים בהתאמה שלהם תיבות דואר נכנס. לכלל היו מאפיינים זהים לזה שנוצר בשלב הראשון של התקיפה במערכה", ציינו הצוות.
איך לעקוף
התוקפים הסתמכו על אישורים גנובים; עם זאת, לכמה משתמשים הופעל אימות רב-גורמי (MFA), שמנע את התרחשות הגניבה.
ארגונים צריכים לאפשר אימות רב-גורמי עבור כל המשתמשים ולדרוש זאת בעת ההצטרפות מכשירים ל-Azure AD, כמו גם לשקול השבתת Exchange Online PowerShell עבור משתמשי קצה, הצוות יעץ.
מיקרוסופט גם שיתפה שאילתות ציד איומים כדי לעזור לארגונים לבדוק אם המשתמשים שלהם נפגעו באמצעות מסע פרסום זה והודיעה שמגנים חייבים גם לבטל הפעלות פעילות ואסימונים המשויכים לחשבונות שנפרצו, למחוק כללי תיבת דואר שנוצרו על ידי התוקפים, ולבטל ולהסיר מכשירים זדוניים שהצטרפו ל- Azure AD.
"השיפור המתמיד של הנראות וההגנות במכשירים מנוהלים אילץ את התוקפים לחקור דרכים חלופיות. בעוד שבמקרה זה נעשה שימוש ברישום מכשיר לצורך התקפות דיוג נוספות, מינוף רישום מכשיר נמצא במגמת עלייה מכיוון שנצפו מקרי שימוש אחרים. יתרה מכך, הזמינות המיידית של כלי בדיקת עט, שנועדו להקל על טכניקה זו, רק תרחיב את השימוש בה בקרב שחקנים אחרים בעתיד", ייעץ הצוות.
פרצות שצריך לחפש
אנליסטים של מודיעין האיומים של מיקרוסופט סימנו לאחרונה קמפיין דיוג שכוון למאות עסקים, זה ניסיון להערים על עובדים להעניק לאפליקציה בשם "שדרוג" גישה ל-Office 365 שלהם חשבונות.
"הודעות הדיוג מטעות את המשתמשים להעניק לאפליקציה הרשאות שיכולות לאפשר לתוקפים ליצור חוקי תיבת דואר נכנס, לקרוא ולכתוב מיילים ופריטי לוח שנה ולקרוא אנשי קשר. מיקרוסופט השביתה את האפליקציה ב-Azure AD והודיעה ללקוחות המושפעים", הם ציינו.
תוקפים יכולים גם לעקוף את אימות רב-גורמי של Office 365 על ידי שימוש ביישומים סוררים, גניבת קודי הרשאה או השגת אסימוני גישה בדרך אחרת במקום האישורים שלהם.
האם נפלתם קורבן להתקפות אלו של האקרים בעבר? שתף אותנו בחוויה שלך בקטע התגובות למטה.
