- Os invasores podem ignorar a MFA no Microsoft Office 365 roubando códigos de autorização ou tokens de acesso.
- A Equipe de Inteligência de Ameaças da Microsoft rastreou uma campanha de malware que afeta organizações na Austrália e no Sudeste Asiático.
- Os hackers estão criando novos métodos de ataques de phishing ao registrar dispositivos Windows no Azure Active Directory por meio do uso de credenciais roubadas do Office 365.
Os hackers estão tentando um novo método de ampliando o escopo de suas campanhas de phishing usando credenciais roubadas do Office 365 para registrar dispositivos Windows no Azure Active Directory.
Se os invasores conseguirem acessar uma organização, eles lançarão uma segunda onda da campanha, que consiste em enviar mais e-mails de phishing para alvos fora e dentro da organização.
Áreas-alvo
A equipe de inteligência de ameaças do Microsoft 365 está rastreando uma campanha de malware direcionada a organizações na Austrália e no Sudeste Asiático.
Para obter as informações de seus alvos, os invasores enviaram e-mails de phishing que pareciam ser da DocuSign. Quando os usuários clicaram no
Revisar Documento botão, eles foram levados para uma página de login falsa para o Office 365, já pré-preenchida com seus nomes de usuário“As credenciais roubadas da vítima foram usadas imediatamente para estabelecer uma conexão com o Exchange Online PowerShell, provavelmente usando um script automatizado como parte de um kit de phishing. Aproveitando a conexão remota do PowerShell, o invasor implementou uma regra de caixa de entrada por meio do cmdlet New-InboxRule que excluiu certas mensagens com base em palavras-chave no assunto ou no corpo da mensagem de e-mail”, a equipe de inteligência em destaque.
O filtro exclui automaticamente as mensagens que contêm determinadas palavras relacionadas a spam, phishing, lixo eletrônico, hacking e segurança de senha, para que o usuário da conta legítima não receba relatórios de falha na entrega e e-mails de notificação de TI que, de outra forma, poderia ter visto.
Os invasores instalaram o Microsoft Outlook em sua própria máquina e o conectaram à vítima Azure Active Directory da organização, possivelmente aceitando o prompt para registrar o Outlook quando ele foi lançado pela primeira vez lançado.
Finalmente, uma vez que a máquina passou a fazer parte do domínio e o cliente de e-mail foi configurado como qualquer outro uso regular dentro das organizações, os e-mails de phishing da conta comprometida convites falsos do SharePoint apontando novamente para uma página de login falsa do Office 365 se tornaram mais persuasivo.
“As vítimas que inseriram suas credenciais no site de phishing do segundo estágio foram conectadas da mesma forma com Exchange Online PowerShell, e quase imediatamente teve uma regra criada para excluir emails em seus respectivos caixas de entrada. A regra tinha características idênticas à criada durante a primeira fase do ataque da campanha”, indicou a equipa.
Como contornar
Os invasores confiaram em credenciais roubadas; no entanto, vários usuários tinham a autenticação multifator (MFA) habilitada, evitando que o roubo ocorresse.
As organizações devem habilitar a autenticação multifator para todos os usuários e exigi-la ao ingressar dispositivos para o Azure AD, além de considerar desabilitar o Exchange Online PowerShell para usuários finais, a equipe aconselhado.
A Microsoft também compartilhou consultas de caça a ameaças para ajudar as organizações a verificar se seus usuários foram comprometidos por meio desta campanha e aconselhou que os defensores também revogar sessões e tokens ativos associados a contas comprometidas, excluir regras de caixa de correio criadas pelos invasores e desabilitar e remover dispositivos maliciosos associados ao Azure AD.
“A melhoria contínua da visibilidade e das proteções em dispositivos gerenciados forçou os invasores a explorar caminhos alternativos. Embora, neste caso, o registro do dispositivo tenha sido usado para outros ataques de phishing, o aproveitamento do registro do dispositivo está aumentando à medida que outros casos de uso foram observados. Além disso, a disponibilidade imediata de ferramentas de pen-testing, projetadas para facilitar essa técnica, só expandirá seu uso por outros atores no futuro”, aconselhou a equipe.
brechas a serem observadas
Os analistas de inteligência de ameaças da Microsoft sinalizaram recentemente uma campanha de phishing que teve como alvo centenas de empresas, esta é uma tentativa de enganar os funcionários para conceder a um aplicativo chamado "Atualizar" acesso ao Office 365 contas.
“As mensagens de phishing induzem os usuários a conceder ao aplicativo permissões que podem permitir que invasores criem regras de caixa de entrada, leiam e escrevam emails e itens de calendário e leiam contatos. A Microsoft desativou o aplicativo no Azure AD e notificou os clientes afetados”, indicaram.
Os invasores também podem ignorar a autenticação multifator do Office 365 usando aplicativos não autorizados, roubando códigos de autorização ou obtendo tokens de acesso em vez de suas credenciais.
Você já foi vítima desses ataques de hackers antes? Compartilhe sua experiência conosco na seção de comentários abaixo.
