攻撃者はOffice365のクレデンシャルを悪用して組織のネットワークにアクセスしています

  • 攻撃者は、認証コードまたはアクセストークンを盗むことにより、Microsoft Office365でMFAをバイパスできます。
  • マイクロソフト脅威インテリジェンスチームは、オーストラリアと東南アジアの組織に影響を与えるマルウェアのキャンペーンを追跡しました。
  • ハッカーは、盗まれたOffice365クレデンシャルを使用してWindowsデバイスをAzureActive Directoryに登録することにより、フィッシング攻撃の新しい方法を作成しています。
MS Office365の電子メールのバグ

ハッカーは新しい方法を試みています フィッシングキャンペーンの範囲を広げる 盗まれたOffice365資格情報を使用して、WindowsデバイスをAzure ActiveDirectoryに登録します。

攻撃者が組織にアクセスできる場合、攻撃者はキャンペーンの第2波を開始します。これは、組織内だけでなく組織外のターゲットにもフィッシングメールを送信することで構成されます。

対象地域

Microsoft 365脅威インテリジェンスチームは、オーストラリアと東南アジアの組織を標的としたマルウェアキャンペーンを追跡しています。

攻撃者は、標的の情報を入手するために、DocuSignから送信されたように見えるフィッシングメールを送信しました。 ユーザーがクリックしたとき レビュードキュメント ボタンをクリックすると、Office 365の偽のログインページが表示され、ユーザー名が事前に入力されています。

「被害者の盗まれた資格情報は、Exchange Online PowerShellとの接続を確立するためにすぐに使用されました。おそらく、フィッシングキットの一部として自動化されたスクリプトを使用していました。 攻撃者は、リモートPowerShell接続を利用して、New-InboxRuleコマンドレットを介して受信トレイルールを実装しました。 電子メールメッセージの件名または本文のキーワードに基づいて特定のメッセージを削除しました」とインテリジェンスチームは述べています。 強調表示されます。

フィルタは、に関連する特定の単語を含むメッセージを自動的に削除します スパム、フィッシング、ジャンク、ハッキング、およびパスワードのセキュリティそのため、正当なアカウントユーザーは、他の方法で表示された可能性のある配信不能レポートやIT通知メールを受信しません。

次に、攻撃者は自分のマシンにMicrosoft Outlookをインストールし、被害者に接続しました 組織のAzureActive Directory、おそらく最初にOutlookを登録するためのプロンプトを受け入れることによって 発売。

最後に、マシンがドメインの一部になり、メールクライアントが組織内の他の通常の使用と同じように構成されると、 侵害されたアカウントの偽のSharepoint招待状から、偽のOffice365ログインページを再度指すフィッシングメールがさらに多くなりました 説得力があります。

「第2段階のフィッシングサイトで資格情報を入力した被害者は、同様に Exchange Online PowerShell、およびほぼ即座に、それぞれの電子メールを削除するルールが作成されました 受信トレイ。 ルールには、キャンペーンの攻撃の最初の段階で作成されたものと同じ特性がありました」とチームは示しました。

バイパスする方法

攻撃者は盗まれた資格情報に依存していました。 ただし、何人かのユーザーは多要素認証(MFA)を有効にしており、盗難の発生を防いでいます。

組織は、すべてのユーザーに対して多要素認証を有効にし、参加時にそれを要求する必要があります デバイスをAzureADに接続し、エンドユーザーであるチームのExchange OnlinePowerShellを無効にすることを検討します アドバイス。

マイクロソフトはまた、組織がこのキャンペーンを通じてユーザーが危険にさらされているかどうかを確認するのに役立つ脅威ハンティングクエリを共有し、防御側も 侵害されたアカウントに関連付けられているアクティブなセッションとトークンを取り消し、攻撃者によって作成されたメールボックスルールを削除し、に参加している悪意のあるデバイスを無効にして削除します。 AzureAD。

「管理対象デバイスの可視性と保護が継続的に改善されているため、攻撃者は別の方法を模索する必要があります。 この場合、デバイス登録はさらなるフィッシング攻撃に使用されましたが、他のユースケースが観察されているため、デバイス登録の活用が増加しています。 さらに、この手法を容易にするように設計された侵入テストツールがすぐに利用できるようになると、将来的には他のアクター全体でその使用が拡大するだけです」とチームはアドバイスしました。

気をつけるべき抜け穴

マイクロソフトの脅威インテリジェンスアナリストは最近、数百人を標的としたフィッシングキャンペーンにフラグを立てました。 これは、従業員をだまして「アップグレード」という名前のアプリにOffice365へのアクセスを許可させる試みです。 アカウント。

「フィッシングメッセージは、攻撃者が受信トレイルールを作成したり、メールやカレンダーアイテムを読み書きしたり、連絡先を読み取ったりすることを許可する可能性のあるアプリの権限をユーザーに付与するようにユーザーを誤解させます。 MicrosoftはAzureADでアプリを非アクティブ化し、影響を受ける顧客に通知しました」と彼らは指摘しました。

攻撃者は、不正なアプリケーションを使用したり、認証コードを盗んだり、資格情報ではなくアクセストークンを取得したりすることで、Office365多要素認証をバイパスすることもできます。

以前にハッカーによるこれらの攻撃の犠牲になったことがありますか? 以下のコメントセクションで私たちとあなたの経験を共有してください。

テーマのあるMicrosoftWordドキュメントは実際にはマルウェアであることが判明

テーマのあるMicrosoftWordドキュメントは実際にはマルウェアであることが判明その他

Windows 11Alphaで作成されたものとして自身をマスクする新しいMicrosoftマルウェアドキュメントがあります。悪意のあるドキュメントは、VBAマクロを悪用して、システムに正常に侵入します。FIN7グループは、同様のケースでの以前の履歴を考えると、この攻撃の背後にあると疑われています。Microsoftユーザーには、もう1つ心配することがあります。 セキュリティ調査会社が、新し...

続きを読む
Outlook.comをWindows11のデフォルトの電子メールクライアントにできるようになりました

Outlook.comをWindows11のデフォルトの電子メールクライアントにできるようになりましたその他

この機能は、Windows10と11の両方と互換性があります。Outlookアプリに大きな変更はありません。この機能を十分に活用するには、更新されたWebブラウザが必要になる場合があります。郵送のニーズをMicrosoftOutlookに大きく依存している場合は、Microsoftの最新の発表をお楽しみいただけます。 ユーザーは、最新のChrome 92アップデートに従って、Outlook....

続きを読む
Windows11でMicrosoftNewsがMicrosoftStartに置き換えられました

Windows11でMicrosoftNewsがMicrosoftStartに置き換えられましたその他

MicrosoftStartがMicrosoftNewsに取って代わります。Microsoft Startは新しいデザインで提供されますが、同じサービスを提供します。目的は、偽のニュースを避け続けることです。最近、Microsoftは待望のWindows 11のリリースに向けた一連の機能を誇っているため、トップの見出しになっています。 Microsoft Newsの置き換えは、 10月5日発...

続きを読む