- 공격자는 인증 코드 또는 액세스 토큰을 훔쳐 Microsoft Office 365에서 MFA를 우회할 수 있습니다.
- Microsoft 위협 인텔리전스 팀은 호주와 동남아시아의 조직에 영향을 미치는 맬웨어 캠페인을 추적했습니다.
- 해커는 도난당한 Office 365 자격 증명을 사용하여 Azure Active Directory에 Windows 장치를 등록하여 새로운 피싱 공격 방법을 만들고 있습니다.
해커들은 새로운 방법을 시도하고 있습니다. 피싱 캠페인의 범위 확대 도난당한 Office 365 자격 증명을 사용하여 Azure Active Directory에 Windows 장치를 등록합니다.
공격자가 조직에 액세스할 수 있게 되면 조직 내부는 물론 외부의 대상에 더 많은 피싱 이메일을 보내는 캠페인의 두 번째 물결이 시작됩니다.
대상 지역
Microsoft 365 위협 인텔리전스 팀은 호주와 동남아시아의 조직을 대상으로 하는 맬웨어 캠페인을 추적해 왔습니다.
공격자는 표적 정보를 얻기 위해 DocuSign에서 보낸 것처럼 보이는 피싱 이메일을 발송했습니다. 사용자가 클릭했을 때 문서 검토 버튼을 누르면 이미 사용자 이름이 미리 채워진 Office 365용 가짜 로그인 페이지로 이동했습니다.
“피해자의 도난당한 자격 증명은 Exchange Online PowerShell과의 연결을 설정하는 데 즉시 사용되었으며, 피싱 키트의 일부로 자동화된 스크립트를 사용했을 가능성이 큽니다. 원격 PowerShell 연결을 활용하여 공격자는 New-InboxRule cmdlet을 통해 받은 편지함 규칙을 구현했습니다. 이메일 메시지의 제목이나 본문에 있는 키워드를 기반으로 특정 메시지를 삭제했습니다.”라고 정보 팀이 말했습니다. 강조 표시됩니다.
필터는 다음과 관련된 특정 단어가 포함된 메시지를 자동으로 삭제합니다. 스팸, 피싱, 정크, 해킹 및 비밀번호 보안, 따라서 합법적인 계정 사용자는 배달 못 함 보고서와 IT 알림 이메일을 받지 못할 수 있습니다.
그런 다음 공격자는 자신의 컴퓨터에 Microsoft Outlook을 설치하고 피해자에게 연결했습니다. 조직의 Azure Active Directory, 처음에 Outlook을 등록하라는 메시지를 수락함으로써 가능 런칭.
마지막으로 시스템이 도메인의 일부가 되고 메일 클라이언트가 조직 내에서 다른 일반 사용과 같이 구성되면 손상된 계정에서 보낸 피싱 이메일 가짜 Office 365 로그인 페이지를 다시 가리키는 가짜 Sharepoint 초대가 더 많아졌습니다. 동기.
"2단계 피싱 사이트에 자신의 자격 증명을 입력한 피해자는 다음과 유사하게 연결되었습니다. Exchange Online PowerShell 및 거의 즉시 각각의 이메일을 삭제하는 규칙이 생성되었습니다. 받은 편지함. 이 규칙은 캠페인의 첫 공격 단계에서 생성된 규칙과 동일한 특성을 가지고 있다”고 팀은 지적했다.
우회하는 방법
공격자는 도난당한 자격 증명에 의존했습니다. 그러나 여러 사용자가 다중 요소 인증(MFA)을 활성화하여 도난을 방지했습니다.
조직은 모든 사용자에 대해 다단계 인증을 활성화하고 가입할 때 요구해야 합니다. 장치를 Azure AD에 연결하고 최종 사용자, 팀에 대해 Exchange Online PowerShell 비활성화를 고려합니다. 조언했다.
Microsoft는 또한 조직이 이 캠페인을 통해 사용자가 손상되었는지 여부를 확인할 수 있도록 위협 사냥 쿼리를 공유했으며 방어자에게 손상된 계정과 관련된 활성 세션 및 토큰을 취소하고, 공격자가 만든 사서함 규칙을 삭제하고, 계정에 연결된 악성 장치를 비활성화 및 제거합니다. 애저 AD.
“관리되는 장치에 대한 가시성과 보호 기능의 지속적인 개선으로 인해 공격자는 대안을 모색할 수 밖에 없었습니다. 이 경우 장치 등록이 추가 피싱 공격에 사용되었지만 다른 사용 사례가 관찰되면서 장치 등록 활용이 증가하고 있습니다. 게다가, 이 기술을 용이하게 하도록 설계된 펜 테스트 도구의 즉각적인 가용성은 미래에 다른 행위자에게만 그 사용을 확장할 것입니다.”라고 팀이 조언했습니다.
주의해야 할 허점
Microsoft의 위협 인텔리전스 분석가는 최근 수백 명의 사용자를 대상으로 하는 피싱 캠페인을 신고했습니다. 이는 직원을 속여 "업그레이드"라는 앱에 Office 365에 대한 액세스 권한을 부여하도록 하려는 시도입니다. 계정.
“피싱 메시지는 공격자가 받은 편지함 규칙을 만들고 이메일과 일정 항목을 읽고 쓰고 연락처를 읽을 수 있는 권한을 앱에 부여하도록 사용자를 오도합니다. 마이크로소프트는 애저 AD에서 앱을 비활성화하고 영향을 받는 고객들에게 알렸다”고 말했다.
공격자는 또한 악성 애플리케이션을 사용하거나 인증 코드를 훔치거나 자격 증명이 아닌 액세스 토큰을 획득하여 Office 365 Multi-Factor Authentication을 우회할 수 있습니다.
이전에 해커의 이러한 공격에 희생된 적이 있습니까? 아래 의견 섹션에서 경험을 공유하십시오.
