- Užpuolikai gali apeiti MFA sistemoje „Microsoft Office 365“, pavogdami autorizacijos kodus arba prieigos prieigos raktus.
- „Microsoft Threat Intelligence Team“ stebėjo kenkėjiškų programų, veikiančių Australijos ir Pietryčių Azijos organizacijas, kampaniją.
- Įsilaužėliai kuria naujus sukčiavimo atakų metodus registruodami „Windows“ įrenginius „Azure Active Directory“ naudodami pavogtus „Office 365“ kredencialus.
Piratai bando naują metodą išplėsti sukčiavimo kampanijų apimtį naudojant pavogtus „Office 365“ kredencialus „Windows“ įrenginiams registruoti „Azure Active Directory“.
Jei užpuolikai galės pasiekti organizaciją, jie pradės antrąją kampanijos bangą, kurią sudaro daugiau sukčiavimo el. laiškų siuntimo tikslams už organizacijos ribų ir viduje.
Tikslinės sritys
„Microsoft 365 Threat Intelligence“ komanda stebėjo kenkėjiškų programų kampaniją, skirtą Australijos ir Pietryčių Azijos organizacijoms.
Norėdami gauti informacijos apie savo taikinius, užpuolikai išsiuntė sukčiavimo el. laiškus, kurie atrodė kaip iš DocuSign. Kai vartotojai spustelėjo
Peržiūrėkite dokumentą mygtuką, jie buvo perkelti į netikrą prisijungimo prie „Office 365“ puslapį, jau iš anksto užpildytą jų vartotojo vardais„Aukos pavogti kredencialai buvo nedelsiant panaudoti ryšiui su „Exchange Online PowerShell“ užmegzti, greičiausiai naudojant automatinį scenarijų kaip sukčiavimo rinkinio dalį. Naudodamas nuotolinį „PowerShell“ ryšį, užpuolikas įdiegė gautųjų taisyklę naudodamas cmdlet „New-InboxRule“, ištrynė tam tikrus pranešimus pagal raktinius žodžius el. laiško temoje arba tekste“, – žvalgybos komanda paryškintas.
Filtras automatiškai ištrina pranešimus, kuriuose yra tam tikrų žodžių, susijusių su šlamštas, sukčiavimas, šlamštas, įsilaužimas ir slaptažodžių apsauga, todėl teisėtas paskyros naudotojas negaus nepristatymo ataskaitų ir IT pranešimų el. laiškų, kuriuos kitu atveju būtų matęs.
Tada užpuolikai įdiegė „Microsoft Outlook“ savo kompiuteryje ir prijungė jį prie aukos organizacijos Azure Active Directory, galbūt priimdami raginimą užregistruoti Outlook, kai jis buvo pirmasis paleistas.
Galiausiai, kai įrenginys tapo domeno dalimi, o pašto klientas buvo sukonfigūruotas kaip ir bet kuris kitas įprastas naudojimas organizacijose, sukčiavimo el. laiškų iš pažeistos paskyros padirbtų Sharepoint kvietimų, vėl nukreipiančių į netikrą Office 365 prisijungimo puslapį, tapo daugiau įtikinantis.
„Aukos, įvedusios savo kredencialus antrojo etapo sukčiavimo svetainėje, buvo panašiai susijusios su „Exchange Online PowerShell“ ir beveik iš karto buvo sukurta taisyklė ištrinti atitinkamus el pašto dėžutės. Taisyklės charakteristikos buvo identiškos tos, kuri buvo sukurta per pirmąjį kampanijos puolimo etapą“, – nurodė komanda.
Kaip apeiti
Užpuolikai rėmėsi pavogtais įgaliojimais; tačiau keli vartotojai buvo įjungę daugiafaktorinį autentifikavimą (MFA), neleidžiantį vagystei įvykti.
Organizacijos turėtų įgalinti daugiafaktorinį autentifikavimą visiems vartotojams ir reikalauti jo prisijungdamos įrenginius į Azure AD, taip pat apsvarstykite galimybę išjungti „Exchange Online PowerShell“ galutiniams vartotojams, komandai patarė.
„Microsoft“ taip pat pasidalijo grėsmių paieškos užklausomis, kad padėtų organizacijoms patikrinti, ar per šią kampaniją jų vartotojai nebuvo pažeisti, ir patarė, kad gynėjai taip pat turi atšaukti aktyvias sesijas ir prieigos raktus, susijusius su pažeistomis paskyromis, ištrinti užpuolikų sukurtas pašto dėžutės taisykles ir išjungti bei pašalinti kenkėjiškus įrenginius, prijungtus prie Azure AD.
„Nuolatinis valdomų įrenginių matomumo ir apsaugos tobulinimas privertė užpuolikus ieškoti alternatyvių būdų. Nors šiuo atveju įrenginio registracija buvo naudojama tolimesnėms sukčiavimo atakoms, įrenginių registracija vis dažniau naudojama, nes buvo pastebėti kiti naudojimo atvejai. Be to, iš karto pasiekiamos rašiklio testavimo priemonės, skirtos palengvinti šią techniką, ateityje tik išplės jos naudojimą kitiems veikėjams“, – patarė komanda.
Spragos, į kurias reikia atkreipti dėmesį
„Microsoft“ grėsmių žvalgybos analitikai neseniai pažymėjo sukčiavimo kampaniją, kuri buvo skirta šimtams verslui, tai bandymas apgauti darbuotojus, kad jie suteiktų programai pavadinimu „Atnaujinti“ prieigą prie jų „Office 365“ sąskaitas.
„Sikčiavimo pranešimai klaidina vartotojus, kad jie suteiktų programai leidimus, kurie galėtų leisti užpuolikams kurti gautųjų taisykles, skaityti ir rašyti el. laiškus ir kalendoriaus elementus bei skaityti kontaktus. „Microsoft“ išjungė programą „Azure AD“ ir informavo paveiktus klientus“, – nurodė jie.
Užpuolikai taip pat gali apeiti „Office 365“ kelių faktorių autentifikavimą naudodami nesąžiningas programas, vogdami prieigos kodus arba kitaip gaudami prieigos prieigos raktus, o ne savo kredencialus.
Ar anksčiau tapote šių įsilaužėlių atakų aukomis? Pasidalykite savo patirtimi su mumis toliau pateiktame komentarų skyriuje.
![Wir konnten keine neue Partition erstellen [GELÖST]](/f/9a6d413f2712e085b9f68be7383e4110.jpg?width=300&height=460)
