ผู้โจมตีใช้ประโยชน์จากข้อมูลประจำตัวของ Office 365 เพื่อเข้าถึงเครือข่ายขององค์กร

แฮกเกอร์กำลังพยายามใช้วิธีใหม่ของ ขยายขอบเขตแคมเปญฟิชชิ่งให้กว้างขึ้น โดยใช้ข้อมูลประจำตัว Office 365 ที่ถูกขโมยเพื่อลงทะเบียนอุปกรณ์ Windows กับ Azure Active Directory

หากผู้โจมตีสามารถเข้าถึงองค์กรได้ พวกเขาจะปล่อยคลื่นลูกที่สองของแคมเปญ ซึ่งประกอบด้วยการส่งอีเมลฟิชชิ่งเพิ่มเติมไปยังเป้าหมายภายนอกองค์กรและภายใน

พื้นที่เป้าหมาย

ทีมข่าวกรองภัยคุกคามของ Microsoft 365 ได้ติดตามแคมเปญมัลแวร์ที่กำหนดเป้าหมายไปยังองค์กรในออสเตรเลียและเอเชียตะวันออกเฉียงใต้

เพื่อให้ได้ข้อมูลของเป้าหมาย ผู้โจมตีได้ส่งอีเมลฟิชชิ่งที่ดูเหมือนมาจาก DocuSign เมื่อผู้ใช้คลิกที่ ตรวจสอบเอกสาร ปุ่ม พวกเขาถูกนำไปที่หน้าเข้าสู่ระบบปลอมสำหรับ Office 365 ซึ่งเต็มไปด้วยชื่อผู้ใช้อยู่แล้ว

“ข้อมูลประจำตัวที่ถูกขโมยของเหยื่อถูกใช้ทันทีเพื่อเชื่อมต่อกับ Exchange Online PowerShell ซึ่งเป็นไปได้สูงว่าจะใช้สคริปต์อัตโนมัติเป็นส่วนหนึ่งของชุดฟิชชิ่ง ใช้ประโยชน์จากการเชื่อมต่อ PowerShell ระยะไกล ผู้โจมตีใช้กฎของกล่องจดหมายเข้าผ่าน cmdlet ของกล่องจดหมายเข้าใหม่ ลบข้อความบางข้อความตามคำหลักในหัวเรื่องหรือเนื้อหาของข้อความอีเมล” ทีมข่าวกรอง เน้น

ตัวกรองจะลบข้อความที่มีคำบางคำที่เกี่ยวข้องกับ .โดยอัตโนมัติ สแปม ฟิชชิ่ง ขยะ การแฮ็ก และความปลอดภัยของรหัสผ่านดังนั้นผู้ใช้บัญชีที่ถูกต้องจะไม่ได้รับรายงานการไม่จัดส่งและอีเมลแจ้งเตือนด้านไอทีที่พวกเขาอาจเคยเห็น

จากนั้นผู้โจมตีได้ติดตั้ง Microsoft Outlook บนเครื่องของตนเองและเชื่อมต่อกับเหยื่อ Azure Active Directory ขององค์กร โดยอาจทำได้โดยยอมรับการแจ้งเพื่อลงทะเบียน Outlook เมื่อเป็นอันดับแรก เปิดตัว

สุดท้าย เมื่อเครื่องกลายเป็นส่วนหนึ่งของโดเมนและมีการกำหนดค่าโปรแกรมรับส่งเมลเหมือนกับการใช้งานปกติอื่นๆ ภายในองค์กร อีเมลฟิชชิ่งจากบัญชีที่ถูกบุกรุก คำเชิญ Sharepoint ปลอมที่ชี้ไปที่หน้าเข้าสู่ระบบ Office 365 ปลอมอีกครั้ง โน้มน้าวใจ

“เหยื่อที่ป้อนข้อมูลประจำตัวในไซต์ฟิชชิ่งขั้นที่สองมีความเกี่ยวข้องในทำนองเดียวกันกับ แลกเปลี่ยน PowerShell ออนไลน์และเกือบจะในทันทีที่มีการสร้างกฎเพื่อลบอีเมลในตามลำดับ กล่องจดหมาย กฎมีลักษณะเหมือนกันกับกฎที่สร้างขึ้นในช่วงแรกของการโจมตีของแคมเปญ” ทีมระบุ

วิธีเลี่ยงผ่าน

ผู้โจมตีอาศัยข้อมูลประจำตัวที่ถูกขโมย อย่างไรก็ตาม ผู้ใช้หลายคนเปิดใช้งานการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) เพื่อป้องกันไม่ให้เกิดการโจรกรรม

องค์กรควรเปิดใช้งานการพิสูจน์ตัวตนแบบหลายปัจจัยสำหรับผู้ใช้ทั้งหมดและจำเป็นต้องใช้เมื่อเข้าร่วม อุปกรณ์ไปยัง Azure AD ตลอดจนพิจารณาปิดใช้งาน Exchange Online PowerShell สำหรับผู้ใช้ปลายทาง ทีม แนะนำ

Microsoft ยังแบ่งปันคำถามในการไล่ล่าภัยคุกคามเพื่อช่วยให้องค์กรตรวจสอบว่าผู้ใช้ของพวกเขาถูกบุกรุกผ่านแคมเปญนี้หรือไม่และแนะนำว่าผู้ปกป้องจะต้องด้วย เพิกถอนเซสชันที่ใช้งานอยู่และโทเค็นที่เกี่ยวข้องกับบัญชีที่ถูกบุกรุก ลบกฎของกล่องจดหมายที่สร้างโดยผู้โจมตี และปิดใช้งานและลบอุปกรณ์ที่เป็นอันตรายที่เข้าร่วม โฆษณา Azure

“การปรับปรุงการมองเห็นและการป้องกันบนอุปกรณ์ที่มีการจัดการอย่างต่อเนื่องทำให้ผู้โจมตีต้องสำรวจทางเลือกอื่น แม้ว่าในกรณีนี้การลงทะเบียนอุปกรณ์จะใช้สำหรับการโจมตีแบบฟิชชิ่งเพิ่มเติม การใช้ประโยชน์จากการลงทะเบียนอุปกรณ์ก็เพิ่มขึ้นตามกรณีการใช้งานอื่นๆ ยิ่งไปกว่านั้น ความพร้อมใช้งานทันทีของเครื่องมือทดสอบปากกา ซึ่งออกแบบมาเพื่ออำนวยความสะดวกในเทคนิคนี้ จะขยายการใช้งานให้ครอบคลุมนักแสดงคนอื่นๆ ในอนาคตเท่านั้น” ทีมงานแนะนำ

ช่องโหว่ที่ต้องระวัง

นักวิเคราะห์ข่าวกรองภัยคุกคามของ Microsoft เพิ่งตั้งค่าสถานะแคมเปญฟิชชิ่งที่กำหนดเป้าหมายหลายร้อย ธุรกิจ นี่คือความพยายามที่จะหลอกให้พนักงานให้สิทธิ์แอปที่ชื่อว่า "อัปเกรด" เข้าถึง Office 365 บัญชี

“ข้อความฟิชชิ่งทำให้ผู้ใช้เข้าใจผิดในการให้สิทธิ์แอปที่อาจอนุญาตให้ผู้โจมตีสร้างกฎกล่องจดหมาย อ่านและเขียนอีเมลและรายการปฏิทิน และอ่านผู้ติดต่อ Microsoft ได้ปิดใช้งานแอปใน Azure AD และได้แจ้งให้ลูกค้าที่ได้รับผลกระทบทราบแล้ว” พวกเขาระบุ

ผู้โจมตียังสามารถเลี่ยงการตรวจสอบสิทธิ์แบบหลายปัจจัยของ Office 365 ได้โดยใช้แอปพลิเคชันที่หลอกลวง ขโมยรหัสการให้สิทธิ์ หรือรับโทเค็นเพื่อการเข้าถึงแทนที่จะเป็นข้อมูลประจำตัว

คุณเคยตกเป็นเหยื่อการโจมตีเหล่านี้โดยแฮกเกอร์มาก่อนหรือไม่? แบ่งปันประสบการณ์ของคุณกับเราในส่วนความคิดเห็นด้านล่าง