- Aanvallers kunnen MFA op Microsoft Office 365 omzeilen door autorisatiecodes of toegangstokens te stelen.
- Het Microsoft Threat Intelligence Team heeft een malwarecampagne gevolgd die organisaties in Australië en Zuidoost-Azië treft.
- Hackers creëren nieuwe methoden voor phishing-aanvallen door Windows-apparaten te registreren bij Azure Active Directory met behulp van gestolen Office 365-referenties.
Hackers proberen een nieuwe methode om de reikwijdte van hun phishing-campagnes vergroten door gestolen Office 365-referenties te gebruiken om Windows-apparaten te registreren bij Azure Active Directory.
Als aanvallers toegang krijgen tot een organisatie, lanceren ze een tweede golf van de campagne, die bestaat uit het verzenden van meer phishing-e-mails naar doelen buiten de organisatie en daarbinnen.
Doelgebieden
Het Microsoft 365 Threat Intelligence-team heeft een malwarecampagne gevolgd die gericht was op organisaties in Australië en Zuidoost-Azië.
Om de informatie van hun doelwitten te krijgen, stuurden de aanvallers phishing-e-mails die eruitzagen alsof ze van DocuSign waren. Wanneer gebruikers klikten op de
Document bekijken knop, werden ze naar een valse inlogpagina voor Office 365 gebracht, die al vooraf was ingevuld met hun gebruikersnamen“De gestolen inloggegevens van het slachtoffer werden onmiddellijk gebruikt om een verbinding tot stand te brengen met Exchange Online PowerShell, hoogstwaarschijnlijk met behulp van een geautomatiseerd script als onderdeel van een phishing-kit. Gebruikmakend van de Remote PowerShell-verbinding, implementeerde de aanvaller een inbox-regel via de New-InboxRule-cmdlet die bepaalde berichten verwijderd op basis van trefwoorden in het onderwerp of de hoofdtekst van het e-mailbericht,” het inlichtingenteam gemarkeerd.
Het filter verwijdert automatisch berichten die bepaalde woorden bevatten die verband houden met spam, phishing, junk, hacking en wachtwoordbeveiliging, zodat de legitieme accountgebruiker geen rapporten over niet-bezorging en e-mails met IT-meldingen ontvangt die ze anders misschien zouden hebben gezien.
De aanvallers installeerden vervolgens Microsoft Outlook op hun eigen computer en koppelden deze aan het slachtoffer Azure Active Directory van de organisatie, mogelijk door de prompt te accepteren om Outlook te registreren toen dit de eerste keer was gelanceerd.
Ten slotte, toen de machine onderdeel werd van het domein en de e-mailclient was geconfigureerd zoals elk ander regulier gebruik binnen de organisaties, de phishing-e-mails van het gecompromitteerde account valse Sharepoint-uitnodigingen die opnieuw naar een nep-aanmeldingspagina van Office 365 wezen, werden meer overredend.
“Slachtoffers die hun inloggegevens invoerden op de phishingsite van de tweede fase waren op dezelfde manier verbonden met Exchange Online PowerShell, en had bijna onmiddellijk een regel gemaakt om e-mails in hun respectievelijke te verwijderen inboxen. De regel had identieke kenmerken als de regel die tijdens de eerste aanvalsfase van de campagne was gemaakt”, aldus het team.
Hoe te omzeilen?
De aanvallers vertrouwden op gestolen inloggegevens; verschillende gebruikers hadden echter multifactor-authenticatie (MFA) ingeschakeld, waardoor diefstal werd voorkomen.
Organisaties moeten multifactor-authenticatie voor alle gebruikers inschakelen en vereisen wanneer ze lid worden apparaten naar Azure AD, en overweeg om Exchange Online PowerShell uit te schakelen voor eindgebruikers, het team geadviseerd.
Microsoft deelde ook zoekopdrachten voor het zoeken naar bedreigingen om organisaties te helpen controleren of hun gebruikers zijn gecompromitteerd via deze campagne en adviseerde verdedigers ook: actieve sessies en tokens die zijn gekoppeld aan gecompromitteerde accounts intrekken, mailboxregels verwijderen die door de aanvallers zijn gemaakt en schadelijke apparaten die zijn aangesloten bij de Azure AD.
“De voortdurende verbetering van de zichtbaarheid en beveiliging op beheerde apparaten heeft aanvallers gedwongen alternatieve wegen te verkennen. Hoewel in dit geval apparaatregistratie werd gebruikt voor verdere phishing-aanvallen, neemt het gebruik van apparaatregistratie toe, aangezien er ook andere gevallen van gebruik zijn waargenomen. Bovendien zal de onmiddellijke beschikbaarheid van pen-testtools, ontworpen om deze techniek te vergemakkelijken, het gebruik ervan in de toekomst alleen maar uitbreiden naar andere actoren”, adviseerde het team.
Loopholes om naar uit te kijken
De analisten van de bedreigingsinformatie van Microsoft hebben onlangs een phishing-campagne gemarkeerd die gericht was op honderden bedrijven, dit is een poging om werknemers te misleiden om een app met de naam "Upgrade" toegang te verlenen tot hun Office 365 rekeningen.
“De phishing-berichten misleiden gebruikers om de app machtigingen te verlenen waarmee aanvallers inboxregels kunnen maken, e-mails en agenda-items kunnen lezen en schrijven en contacten kunnen lezen. Microsoft heeft de app in azure AD gedeactiveerd en heeft de getroffen klanten op de hoogte gebracht”, gaven ze aan.
Aanvallers kunnen Office 365 Multi-Factor Authentication ook omzeilen door frauduleuze applicaties te gebruiken, autorisatiecodes te stelen of anderszins toegangstokens te verkrijgen in plaats van hun inloggegevens.
Bent u al eerder het slachtoffer geworden van deze aanvallen door hackers? Deel uw ervaring met ons in het commentaargedeelte hieronder.
