- Angripare kan kringgå MFA på Microsoft Office 365 genom att stjäla auktoriseringskoder eller åtkomsttokens.
- Microsoft Threat Intelligence Team har spårat en kampanj med skadlig programvara som påverkar organisationer i Australien och Sydostasien.
- Hackare skapar nya metoder för nätfiskeattacker genom att registrera Windows-enheter med Azure Active Directory genom att använda stulna Office 365-uppgifter.
Hackare försöker med en ny metod utöka omfattningen av sina nätfiskekampanjer genom att använda stulna Office 365-uppgifter för att registrera Windows-enheter med Azure Active Directory.
Om angripare kan komma åt en organisation kommer de att starta en andra våg av kampanjen, som består av att skicka fler nätfiske-e-postmeddelanden till mål utanför organisationen såväl som inom organisationen.
Målområden
Microsoft 365 Threat Intelligence Team har spårat en skadlig programvara kampanj riktad mot organisationer i Australien och Sydostasien.
För att få information om sina mål skickade angriparna ut nätfiske-e-postmeddelanden som såg ut att vara från DocuSign. När användare klickade på
Granska dokument knappen fördes de till en falsk inloggningssida för Office 365, redan ifylld med deras användarnamn"Offrets stulna referenser användes omedelbart för att upprätta en anslutning till Exchange Online PowerShell, troligen med hjälp av ett automatiserat skript som en del av ett nätfiske-kit. Med hjälp av Remote PowerShell-anslutningen implementerade angriparen en inkorgsregel via New-InboxRule-cmdleten som raderade vissa meddelanden baserat på nyckelord i ämnet eller brödtexten i e-postmeddelandet, säger underrättelseteamet markerad.
Filtret tar automatiskt bort meddelanden som innehåller vissa ord relaterade till spam, nätfiske, skräp, hacking och lösenordssäkerhet, så den legitima kontoanvändaren kommer inte att få rapporter om utebliven leverans och e-postmeddelanden om IT-meddelanden som de annars skulle ha sett.
Angriparna installerade sedan Microsoft Outlook på sin egen maskin och kopplade det till offret organisationens Azure Active Directory, möjligen genom att acceptera uppmaningen att registrera Outlook när det var först lanseras.
Slutligen, när maskinen väl blev en del av domänen och e-postklienten konfigurerades som all annan vanlig användning inom organisationerna, nätfiske-e-postmeddelandena från det komprometterade kontots falska Sharepoint-inbjudningar som återigen pekade på en falsk Office 365-inloggningssida blev fler övertygande.
"Offren som skrev in sina uppgifter på den andra etappens nätfiskewebbplats var på liknande sätt kopplade till Exchange Online PowerShell, och hade nästan omedelbart skapat en regel för att radera e-postmeddelanden i sina respektive inkorgar. Regeln hade identiska egenskaper som den som skapades under kampanjens första skede av attacken”, indikerade teamet.
Hur man kringgår
Angriparna förlitade sig på stulna referenser; Men flera användare hade multifaktorautentisering (MFA) aktiverad, vilket förhindrade att stölden inträffade.
Organisationer bör möjliggöra multifaktorautentisering för alla användare och kräva det när de går med enheter till Azure AD, samt överväg att inaktivera Exchange Online PowerShell för slutanvändare, teamet rådde.
Microsoft delade också hotjaktfrågor för att hjälpa organisationer att kontrollera om deras användare har blivit utsatta för intrång via den här kampanjen och rekommenderade att försvarare också måste återkalla aktiva sessioner och tokens associerade med inträngda konton, ta bort postlåderegler som skapats av angriparna och inaktivera och ta bort skadliga enheter som är anslutna till Azure AD.
"Den kontinuerliga förbättringen av synlighet och skydd på hanterade enheter har tvingat angripare att utforska alternativa vägar. Även om enhetsregistrering i det här fallet användes för ytterligare nätfiskeattacker, ökar utnyttjandet av enhetsregistrering eftersom andra användningsfall har observerats. Dessutom kommer den omedelbara tillgängligheten av penntestverktyg, utformade för att underlätta denna teknik, bara att utöka användningen av andra aktörer i framtiden, säger teamet.
Kryphål att hålla utkik efter
Microsofts hotintelligensanalytiker flaggade nyligen för en nätfiskekampanj som riktade sig mot hundratals företag, detta ett försök att lura anställda att ge en app som heter "Uppgradera" åtkomst till deras Office 365 konton.
"Nätfiskemeddelanden vilseleder användare att ge appbehörigheter som kan tillåta angripare att skapa inkorgsregler, läsa och skriva e-postmeddelanden och kalenderobjekt och läsa kontakter. Microsoft har inaktiverat appen i Azure AD och har meddelat berörda kunder”, indikerade de.
Angripare kan också kringgå Office 365 Multi-Factor Authentication genom att använda oseriösa applikationer, stjäla auktoriseringskoder eller på annat sätt skaffa åtkomsttokens snarare än deras autentiseringsuppgifter.
Har du fallit offer för dessa attacker från hackare tidigare? Dela din upplevelse med oss i kommentarsfältet nedan.
![Chrome //net-internals/#dns mobil [O que é isso?]](/f/a479d2d6d4b1d73726cc33b0836f73e6.png?width=300&height=460)
