- Uzbrucēji var apiet MFA pakalpojumā Microsoft Office 365, nozogot autorizācijas kodus vai piekļuves pilnvaras.
- Microsoft Threat Intelligence Team ir izsekojusi ļaunprātīgas programmatūras kampaņu, kas ietekmē organizācijas Austrālijā un Dienvidaustrumāzijā.
- Hakeri rada jaunas pikšķerēšanas uzbrukumu metodes, reģistrējot Windows ierīces pakalpojumā Azure Active Directory, izmantojot nozagtus Office 365 akreditācijas datus.
Hakeri izmēģina jaunu metodi paplašinot pikšķerēšanas kampaņu darbības jomu izmantojot nozagtus Office 365 akreditācijas datus, lai reģistrētu Windows ierīces pakalpojumā Azure Active Directory.
Ja uzbrucēji var piekļūt organizācijai, viņi uzsāks otro kampaņas vilni, kas sastāv no vairāk pikšķerēšanas e-pasta ziņojumu nosūtīšanas uz mērķiem ārpus organizācijas, kā arī tās iekšienē.
Mērķa jomas
Microsoft 365 Threat Intelligence Team ir izsekojusi ļaunprātīgas programmatūras kampaņu, kuras mērķauditorija ir Austrālijas un Dienvidaustrumāzijas organizācijas.
Lai iegūtu informāciju par saviem mērķiem, uzbrucēji izsūtīja pikšķerēšanas e-pastus, kas izskatījās kā no DocuSign. Kad lietotāji noklikšķināja uz
Pārskatiet dokumentu pogu, viņi tika novirzīti uz viltotu Office 365 pieteikšanās lapu, kas jau bija iepriekš aizpildīta ar viņu lietotājvārdiem.“Upura nozagtie akreditācijas dati tika nekavējoties izmantoti, lai izveidotu savienojumu ar Exchange Online PowerShell, visticamāk, izmantojot automātisku skriptu kā daļu no pikšķerēšanas komplekta. Izmantojot attālo PowerShell savienojumu, uzbrucējs ieviesa iesūtnes kārtulu, izmantojot cmdlet New-InboxRule, kas izdzēsa noteiktus ziņojumus, pamatojoties uz atslēgvārdiem e-pasta ziņojuma tēmā vai pamattekstā," izlūkošanas komanda izcelts.
Filtrs automātiski izdzēš ziņojumus, kuros ir noteikti vārdi, kas saistīti ar surogātpasta, pikšķerēšanas, nevēlamā, uzlaušanas un paroles drošība, tāpēc likumīgais konta lietotājs nesaņems ziņojumus par nepiegādi un IT paziņojumu e-pasta ziņojumus, kurus viņš citādi būtu redzējis.
Pēc tam uzbrucēji savā datorā instalēja Microsoft Outlook un savienoja to ar upuri organizācijas Azure Active Directory, iespējams, pirmo reizi pieņemot uzvedni reģistrēt programmu Outlook palaists.
Visbeidzot, tiklīdz iekārta kļuva par domēna daļu un pasta klients tika konfigurēts tāpat kā jebkura cita regulāra lietošana organizācijās, pikšķerēšanas e-pasta ziņojumi no apdraudētā konta viltus Sharepoint ielūgumi, kas atkal norāda uz viltotu Office 365 pieteikšanās lapu, kļuva arvien vairāk pārliecinošs.
“Cietušie, kas ievadīja savus akreditācijas datus otrā posma pikšķerēšanas vietnē, bija līdzīgi saistīti ar Exchange Online PowerShell, un gandrīz nekavējoties tika izveidota kārtula, lai dzēstu attiecīgos e-pasta ziņojumus iesūtnes. Noteikumam bija identiskas īpašības tam, kas tika izveidots kampaņas pirmajā uzbrukuma posmā," norādīja komanda.
Kā apiet
Uzbrucēji paļāvās uz zagtām pilnvarām; tomēr vairākiem lietotājiem bija iespējota daudzfaktoru autentifikācija (MFA), tādējādi novēršot zādzību.
Organizācijām ir jāiespējo daudzfaktoru autentifikācija visiem lietotājiem un jāpieprasa, pievienojoties ierīces uz Azure AD, kā arī apsveriet iespēju atspējot Exchange Online PowerShell galalietotājiem, komandai ieteica.
Microsoft arī kopīgoja draudu meklēšanas vaicājumus, lai palīdzētu organizācijām pārbaudīt, vai to lietotāji nav apdraudēti šīs kampaņas laikā, un ieteica aizstāvjiem arī atsaukt aktīvās sesijas un marķierus, kas saistīti ar apdraudētiem kontiem, dzēst uzbrucēju izveidotās pastkastes kārtulas, kā arī atspējot un noņemt ļaunprātīgās ierīces, kas ir pievienotas Azure AD.
“Nepārtrauktā redzamības un aizsardzības uzlabošana pārvaldītajās ierīcēs ir piespiedusi uzbrucējus izpētīt alternatīvas iespējas. Lai gan šajā gadījumā ierīces reģistrācija tika izmantota turpmākiem pikšķerēšanas uzbrukumiem, pieaug ierīces reģistrācijas piesaistes izmantošana, jo ir novēroti citi lietošanas gadījumi. Turklāt tūlītēja pildspalvu testēšanas rīku pieejamība, kas izstrādāti, lai atvieglotu šo paņēmienu, nākotnē tikai paplašinās tās izmantošanu citos dalībniekus, ”teica komanda.
Nepilnības, kurām jāpievērš uzmanība
Microsoft draudu izlūkošanas analītiķi nesen atzīmēja pikšķerēšanas kampaņu, kuras mērķauditorija bija simtiem uzņēmumiem, šis ir mēģinājums apmānīt darbiniekus, lai viņi programmai ar nosaukumu “Upgrade” piešķirtu piekļuvi viņu Office 365. kontiem.
"Pikšķerēšanas ziņojumi maldina lietotājus, piešķirot lietotnei atļaujas, kas varētu ļaut uzbrucējiem izveidot iesūtnes noteikumus, lasīt un rakstīt e-pastus un kalendāra vienumus, kā arī lasīt kontaktpersonas. Microsoft ir deaktivizējis lietotni Azure AD un ir informējis ietekmētos klientus," viņi norādīja.
Uzbrucēji var arī apiet Office 365 daudzfaktoru autentifikāciju, izmantojot negodīgas lietojumprogrammas, zogot autorizācijas kodus vai citādi iegūstot piekļuves pilnvaras, nevis savus akreditācijas datus.
Vai iepriekš esat kļuvis par upuri šiem hakeru uzbrukumiem? Dalieties pieredzē ar mums komentāru sadaļā zemāk.
