- Atakujący mogą ominąć MFA w Microsoft Office 365, kradnąc kody autoryzacyjne lub tokeny dostępu.
- Zespół Microsoft Threat Intelligence Team prześledził kampanię złośliwego oprogramowania, która ma wpływ na organizacje w Australii i Azji Południowo-Wschodniej.
- Hakerzy tworzą nowe metody ataków typu phishing, rejestrując urządzenia z systemem Windows w usłudze Azure Active Directory przy użyciu skradzionych poświadczeń usługi Office 365.
Hakerzy próbują nowej metody poszerzenie zakresu swoich kampanii phishingowych za pomocą skradzionych poświadczeń usługi Office 365 do rejestrowania urządzeń z systemem Windows w usłudze Azure Active Directory.
Jeśli atakujący będą w stanie uzyskać dostęp do organizacji, uruchomią drugą falę kampanii, która polega na wysyłaniu większej liczby wiadomości phishingowych do celów poza organizacją, jak również wewnątrz niej.
Obszary docelowe
Zespół ds. analizy zagrożeń platformy Microsoft 365 śledzi kampanię złośliwego oprogramowania wymierzoną w organizacje w Australii i Azji Południowo-Wschodniej.
Aby uzyskać informacje o swoich celach, osoby atakujące wysłały wiadomości phishingowe, które wyglądały, jakby pochodziły z DocuSign. Gdy użytkownicy kliknęli na Przejrzyj dokument przycisk, zostali przeniesieni na fałszywą stronę logowania do Office 365, zawierającą już wstępnie wypełnione ich nazwy użytkowników
„Skradzione dane uwierzytelniające ofiary zostały natychmiast wykorzystane do nawiązania połączenia z Exchange Online PowerShell, najprawdopodobniej przy użyciu zautomatyzowanego skryptu w ramach zestawu phishingowego. Wykorzystując połączenie Remote PowerShell, osoba atakująca zaimplementowała regułę skrzynki odbiorczej za pomocą polecenia cmdlet New-InboxRule, które usunął niektóre wiadomości na podstawie słów kluczowych w temacie lub treści wiadomości e-mail”, zespół wywiadowczy podświetlony.
Filtr automatycznie usuwa wiadomości zawierające określone słowa związane z spam, phishing, śmieci, włamania i hasła, dzięki czemu legalny użytkownik konta nie otrzyma raportów o niedostarczeniu przesyłki ani wiadomości e-mail z powiadomieniami IT, które w innym przypadku mógłby zobaczyć.
Atakujący zainstalowali następnie Microsoft Outlook na własnym komputerze i połączyli go z ofiarą Azure Active Directory organizacji, być może poprzez zaakceptowanie monitu o zarejestrowanie programu Outlook, gdy był on pierwszy uruchomiona.
Wreszcie, gdy maszyna stała się częścią domeny, a klient poczty został skonfigurowany tak, jak każdy inny typowy użytek w organizacji, e-maile phishingowe z przejętego konta fałszywych zaproszeń Sharepoint wskazujących ponownie na fałszywą stronę logowania do Office 365 stały się bardziej przekonujący.
„Ofiary, które wprowadziły swoje dane uwierzytelniające na drugiej stronie witryny phishingowej, były w podobny sposób powiązane z Exchange Online PowerShell i niemal natychmiast utworzono regułę usuwania wiadomości e-mail w ich odpowiednich skrzynki odbiorcze. Reguła miała identyczne cechy jak ta stworzona podczas pierwszego etapu ataku kampanii” – wskazał zespół.
Jak ominąć
Osoby atakujące polegały na skradzionych poświadczeniach; jednak kilku użytkowników miało włączone uwierzytelnianie wieloskładnikowe (MFA), zapobiegając kradzieży.
Organizacje powinny włączyć uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników i wymagać tego podczas dołączania urządzeń do usługi Azure AD, a także rozważ wyłączenie programu Exchange Online PowerShell dla użytkowników końcowych, zespół rozmyślny.
Microsoft udostępnił również zapytania dotyczące polowania na zagrożenia, aby pomóc organizacjom sprawdzić, czy ich użytkownicy zostali naruszeni w wyniku tej kampanii, i poinformował, że obrońcy również muszą odwoływać aktywne sesje i tokeny powiązane z zaatakowanymi kontami, usuwać reguły skrzynek pocztowych utworzone przez atakujących oraz wyłączać i usuwać złośliwe urządzenia przyłączone do Usługa Azure AD.
„Ciągła poprawa widoczności i ochrony na zarządzanych urządzeniach zmusiła atakujących do poszukiwania alternatywnych dróg. Podczas gdy w tym przypadku rejestracja urządzenia była wykorzystywana do dalszych ataków phishingowych, wykorzystanie rejestracji urządzeń rośnie, ponieważ zaobserwowano inne przypadki użycia. Co więcej, natychmiastowa dostępność narzędzi do testowania piórem, zaprojektowanych w celu ułatwienia tej techniki, rozszerzy jej zastosowanie na inne podmioty w przyszłości” – poradził zespół.
Luki, na które należy zwrócić uwagę
Analitycy firmy Microsoft ds. analizy zagrożeń niedawno oznaczyli kampanię phishingową, której celem były setki firm, w tym próba nakłonienia pracowników do przyznania aplikacji o nazwie „Upgrade” dostępu do ich usługi Office 365 rachunki.
„Wiadomości phishingowe wprowadzają użytkowników w błąd do przyznawania uprawnień aplikacji, które mogą umożliwić atakującym tworzenie reguł skrzynki odbiorczej, czytanie i pisanie wiadomości e-mail i elementów kalendarza oraz odczytywanie kontaktów. Firma Microsoft dezaktywowała aplikację w usłudze Azure AD i powiadomiła klientów, których to dotyczy”, wskazali.
Atakujący mogą również ominąć uwierzytelnianie wieloskładnikowe usługi Office 365, używając nieuczciwych aplikacji, kradnąc kody autoryzacyjne lub w inny sposób uzyskując tokeny dostępu zamiast ich poświadczeń.
Czy padłeś już ofiarą tych ataków hakerów? Podziel się z nami swoim doświadczeniem w sekcji komentarzy poniżej.
