- 攻撃者は、認証コードまたはアクセストークンを盗むことにより、Microsoft Office365でMFAをバイパスできます。
- マイクロソフト脅威インテリジェンスチームは、オーストラリアと東南アジアの組織に影響を与えるマルウェアのキャンペーンを追跡しました。
- ハッカーは、盗まれたOffice365クレデンシャルを使用してWindowsデバイスをAzureActive Directoryに登録することにより、フィッシング攻撃の新しい方法を作成しています。
ハッカーは新しい方法を試みています フィッシングキャンペーンの範囲を広げる 盗まれたOffice365資格情報を使用して、WindowsデバイスをAzure ActiveDirectoryに登録します。
攻撃者が組織にアクセスできる場合、攻撃者はキャンペーンの第2波を開始します。これは、組織内だけでなく組織外のターゲットにもフィッシングメールを送信することで構成されます。
対象地域
Microsoft 365脅威インテリジェンスチームは、オーストラリアと東南アジアの組織を標的としたマルウェアキャンペーンを追跡しています。
攻撃者は、標的の情報を入手するために、DocuSignから送信されたように見えるフィッシングメールを送信しました。 ユーザーがクリックしたとき レビュードキュメント ボタンをクリックすると、Office 365の偽のログインページが表示され、ユーザー名が事前に入力されています。
「被害者の盗まれた資格情報は、Exchange Online PowerShellとの接続を確立するためにすぐに使用されました。おそらく、フィッシングキットの一部として自動化されたスクリプトを使用していました。 攻撃者は、リモートPowerShell接続を利用して、New-InboxRuleコマンドレットを介して受信トレイルールを実装しました。 電子メールメッセージの件名または本文のキーワードに基づいて特定のメッセージを削除しました」とインテリジェンスチームは述べています。 強調表示されます。
フィルタは、に関連する特定の単語を含むメッセージを自動的に削除します スパム、フィッシング、ジャンク、ハッキング、およびパスワードのセキュリティそのため、正当なアカウントユーザーは、他の方法で表示された可能性のある配信不能レポートやIT通知メールを受信しません。
次に、攻撃者は自分のマシンにMicrosoft Outlookをインストールし、被害者に接続しました 組織のAzureActive Directory、おそらく最初にOutlookを登録するためのプロンプトを受け入れることによって 発売。
最後に、マシンがドメインの一部になり、メールクライアントが組織内の他の通常の使用と同じように構成されると、 侵害されたアカウントの偽のSharepoint招待状から、偽のOffice365ログインページを再度指すフィッシングメールがさらに多くなりました 説得力があります。
「第2段階のフィッシングサイトで資格情報を入力した被害者は、同様に Exchange Online PowerShell、およびほぼ即座に、それぞれの電子メールを削除するルールが作成されました 受信トレイ。 ルールには、キャンペーンの攻撃の最初の段階で作成されたものと同じ特性がありました」とチームは示しました。
バイパスする方法
攻撃者は盗まれた資格情報に依存していました。 ただし、何人かのユーザーは多要素認証(MFA)を有効にしており、盗難の発生を防いでいます。
組織は、すべてのユーザーに対して多要素認証を有効にし、参加時にそれを要求する必要があります デバイスをAzureADに接続し、エンドユーザーであるチームのExchange OnlinePowerShellを無効にすることを検討します アドバイス。
マイクロソフトはまた、組織がこのキャンペーンを通じてユーザーが危険にさらされているかどうかを確認するのに役立つ脅威ハンティングクエリを共有し、防御側も 侵害されたアカウントに関連付けられているアクティブなセッションとトークンを取り消し、攻撃者によって作成されたメールボックスルールを削除し、に参加している悪意のあるデバイスを無効にして削除します。 AzureAD。
「管理対象デバイスの可視性と保護が継続的に改善されているため、攻撃者は別の方法を模索する必要があります。 この場合、デバイス登録はさらなるフィッシング攻撃に使用されましたが、他のユースケースが観察されているため、デバイス登録の活用が増加しています。 さらに、この手法を容易にするように設計された侵入テストツールがすぐに利用できるようになると、将来的には他のアクター全体でその使用が拡大するだけです」とチームはアドバイスしました。
気をつけるべき抜け穴
マイクロソフトの脅威インテリジェンスアナリストは最近、数百人を標的としたフィッシングキャンペーンにフラグを立てました。 これは、従業員をだまして「アップグレード」という名前のアプリにOffice365へのアクセスを許可させる試みです。 アカウント。
「フィッシングメッセージは、攻撃者が受信トレイルールを作成したり、メールやカレンダーアイテムを読み書きしたり、連絡先を読み取ったりすることを許可する可能性のあるアプリの権限をユーザーに付与するようにユーザーを誤解させます。 MicrosoftはAzureADでアプリを非アクティブ化し、影響を受ける顧客に通知しました」と彼らは指摘しました。
攻撃者は、不正なアプリケーションを使用したり、認証コードを盗んだり、資格情報ではなくアクセストークンを取得したりすることで、Office365多要素認証をバイパスすることもできます。
以前にハッカーによるこれらの攻撃の犠牲になったことがありますか? 以下のコメントセクションで私たちとあなたの経験を共有してください。
![100ドル未満の5つの最高のゲームキャプチャカード[2021ガイド]](/f/cd121a5c5a29b619a539f875ecf1df6d.jpg?width=300&height=460)
![バルクメッセージ送信用のWhatsApp拡張機能[クイックリスト]](/f/34e2dd55fb68c5de44de511b37e71e9f.webp?width=300&height=460)
