- Нападачи могу да заобиђу МФА на Мицрософт Оффице 365 крађом ауторизационих кодова или приступних токена.
- Мицрософт Тхреат Интеллигенце Тим је пратио кампању злонамерног софтвера који утиче на организације у Аустралији и југоисточној Азији.
- Хакери креирају нове методе пхисхинг напада тако што региструју Виндовс уређаје у Азуре Ацтиве Дирецтори користећи украдене Оффице 365 акредитиве.
Хакери покушавају нови метод ширећи обим својих пхисхинг кампања коришћењем украдених Оффице 365 акредитива за регистрацију Виндовс уређаја са Азуре Ацтиве Дирецтори.
Ако нападачи буду у могућности да приступе организацији, покренуће други талас кампање, који се састоји од слања више пхисхинг е-порука циљевима изван организације, као и унутар организације.
Циљна подручја
Мицрософт 365 Тхреат Интеллигенце Тим прати кампању злонамерног софтвера усмерену на организације у Аустралији и југоисточној Азији.
Да би добили информације о својим метама, нападачи су слали пхисхинг мејлове који су изгледали као да су са ДоцуСигн-а. Када корисници кликну на
Прегледајте документ дугме, одведени су на лажну страницу за пријаву на Оффице 365, већ унапред попуњену њиховим корисничким именима„Украдени акредитиви жртве су одмах коришћени за успостављање везе са Екцханге Онлине ПоверСхелл-ом, највероватније користећи аутоматизовану скрипту као део комплета за пхисхинг. Користећи Ремоте ПоверСхелл везу, нападач је имплементирао правило пријемног сандучета преко Нев-ИнбокРуле цмдлета који обрисао одређене поруке на основу кључних речи у предмету или телу е-поруке“, обавештајни тим истакнуто.
Филтер аутоматски брише поруке које садрже одређене речи које се односе на безбедност нежељене поште, пхисхинга, смећа, хаковања и лозинке, тако да легитимни корисник налога неће примати извештаје о неиспоруци и е-поруке са ИТ обавештењима које би иначе могао да види.
Нападачи су затим инсталирали Мицрософт Оутлоок на сопствени рачунар и повезали га са жртвом Азуре Ацтиве Дирецтори организације, вероватно прихватањем упита за регистрацију Оутлоок-а када је први пут био покренут.
Коначно, када је машина постала део домена и клијент поште конфигурисан као свака друга редовна употреба у организацијама, лажне Схарепоинт позивнице које поново упућују на лажну страницу за пријаву на Оффице 365 постале су више убедљив.
„Жртве које су унеле своје акредитиве на сајту друге фазе пхисхинг-а биле су на сличан начин повезане Екцханге Онлине ПоверСхелл, и скоро одмах су креирали правило за брисање е-порука у њима сандучићи за пријем. Правило је имало идентичне карактеристике као оно које је створено током прве фазе напада у кампањи“, назначио је тим.
Како заобићи
Нападачи су се ослањали на украдене акредитиве; међутим, неколико корисника је имало омогућену мултифакторску аутентификацију (МФА), спречавајући крађу.
Организације треба да омогуће мултифакторску аутентификацију за све кориснике и да је захтевају приликом придруживања уређаја на Азуре АД, као и да размотрите онемогућавање Екцханге Онлине ПоверСхелл-а за крајње кориснике, тим саветован.
Мицрософт је такође поделио упите за тражење претњи како би помогао организацијама да провере да ли су њихови корисници компромитовани путем ове кампање и саветовао да браниоци такође морају опозовите активне сесије и токене повезане са компромитованим налозима, избришите правила за поштанско сандуче које су креирали нападачи и онемогућите и уклоните злонамерне уређаје прикључене на Азуре АД.
„Стално побољшање видљивости и заштите на управљаним уређајима приморало је нападаче да истраже алтернативне путеве. Док је у овом случају регистрација уређаја коришћена за даље пхисхинг нападе, коришћење регистрације уређаја је у порасту јер су примећени и други случајеви употребе. Штавише, тренутна доступност алата за тестирање оловком, дизајнираних да олакшају ову технику, само ће проширити њену употребу међу другим актерима у будућности“, саветује тим.
Рупе на које треба обратити пажњу
Мицрософт-ови аналитичари обавештајних података о претњама недавно су означили пхисхинг кампању која је циљала на стотине предузећа, ово је покушај да се запосленима преваре да апликацији под називом „Надоградња“ дају приступ свом Оффице 365 рачуни.
„Поруке за крађу идентитета доводе кориснике у заблуду да дају дозволе апликацији које би могле омогућити нападачима да креирају правила за пријемно сандуче, читају и пишу е-пошту и ставке календара и читају контакте. Мицрософт је деактивирао апликацију у Азуре АД и обавестио погођене купце“, навели су.
Нападачи такође могу да заобиђу Оффице 365 вишефакторску аутентификацију користећи лажне апликације, крађу ауторизационих кодова или на други начин добијају приступне токене уместо њихових акредитива.
Да ли сте раније били жртва ових хакерских напада? Поделите своје искуство са нама у одељку за коментаре испод.
