- Saldırganlar, yetkilendirme kodlarını veya erişim belirteçlerini çalarak Microsoft Office 365'te MFA'yı atlayabilir.
- Microsoft Tehdit İstihbarat Ekibi, Avustralya ve Güneydoğu Asya'daki kuruluşları etkileyen bir kötü amaçlı yazılım kampanyasını izledi.
- Bilgisayar korsanları, çalınan Office 365 kimlik bilgilerini kullanarak Windows cihazlarını Azure Active Directory'ye kaydettirerek yeni kimlik avı saldırıları yöntemleri oluşturuyor.
Bilgisayar korsanları yeni bir yöntem deniyorlar kimlik avı kampanyalarının kapsamını genişletmek Windows cihazlarını Azure Active Directory ile kaydettirmek için çalınan Office 365 kimlik bilgilerini kullanarak.
Saldırganlar bir kuruluşa erişebilirse, kampanyanın ikinci dalgasını başlatacak ve bu, kuruluş içindeki ve dışındaki hedeflere daha fazla kimlik avı e-postası göndermekten ibarettir.
Hedef alanlar
Microsoft 365 Tehdit İstihbaratı Ekibi, Avustralya ve Güneydoğu Asya'daki kuruluşları hedefleyen bir kötü amaçlı yazılım kampanyasını izliyor.
Saldırganlar, hedeflerinin bilgilerini almak için DocuSign'dan gelmiş gibi görünen kimlik avı e-postaları gönderdi. Kullanıcılar tıkladığında
Belgeyi İncele düğmesi, Office 365 için önceden kullanıcı adlarıyla doldurulmuş sahte bir oturum açma sayfasına götürüldüler.“Kurbanın çalınan kimlik bilgileri, büyük olasılıkla bir kimlik avı kitinin parçası olarak otomatik bir komut dosyası kullanılarak Exchange Online PowerShell ile bağlantı kurmak için hemen kullanıldı. Saldırgan, Remote PowerShell bağlantısından yararlanarak New-InboxRule cmdlet'i aracılığıyla bir gelen kutusu kuralı uyguladı: e-posta mesajının konusu veya gövdesindeki anahtar kelimelere dayalı olarak belirli mesajları sildi” istihbarat ekibi vurgulandı.
Filtre, ilgili belirli kelimeleri içeren mesajları otomatik olarak siler. spam, kimlik avı, önemsiz, bilgisayar korsanlığı ve parola güvenliği, bu nedenle meşru hesap kullanıcısı, aksi halde görmüş olabilecekleri teslim edilmeyen raporları ve BT bildirim e-postalarını almaz.
Saldırganlar daha sonra Microsoft Outlook'u kendi makinelerine kurdular ve onu kurbana bağladılar. kuruluşun Azure Active Directory, muhtemelen Outlook'u ilk kez kaydettirme istemini kabul ederek başlattı.
Son olarak, makine etki alanının bir parçası olduğunda ve posta istemcisi, kuruluşlardaki diğer normal kullanımlar gibi yapılandırıldığında, Güvenliği ihlal edilmiş hesaptan gelen kimlik avı e-postaları, yeniden sahte bir Office 365 oturum açma sayfasına işaret eden sahte Sharepoint davetiyeleri daha da arttı ikna edici.
“İkinci aşama kimlik avı sitesine kimlik bilgilerini giren mağdurlar, benzer şekilde Exchange Online PowerShell ve hemen hemen kendi e-postalarını silmek için bir kural oluşturuldu. gelen kutuları. Kural, kampanyanın saldırının ilk aşamasında oluşturulanla aynı özelliklere sahipti” dedi.
nasıl atlanır
Saldırganlar çalıntı kimlik bilgilerine güvendiler; ancak, birkaç kullanıcıda hırsızlığın gerçekleşmesini önleyen çok faktörlü kimlik doğrulaması (MFA) etkinleştirildi.
Kuruluşlar, tüm kullanıcılar için çok faktörlü kimlik doğrulamayı etkinleştirmeli ve üye olurken bunu zorunlu tutmalıdır. aygıtları Azure AD'ye taşımanın yanı sıra son kullanıcılar için Exchange Online PowerShell'i devre dışı bırakmayı düşünün, ekip tavsiye etti.
Microsoft ayrıca kuruluşların bu kampanya aracılığıyla kullanıcılarının güvenliğinin ihlal edilip edilmediğini kontrol etmelerine yardımcı olmak için tehdit avı sorgularını paylaştı ve savunucuların da yapması gerektiğini tavsiye etti. güvenliği ihlal edilmiş hesaplarla ilişkili aktif oturumları ve belirteçleri iptal edin, saldırganlar tarafından oluşturulan posta kutusu kurallarını silin ve sisteme katılan kötü amaçlı cihazları devre dışı bırakın ve kaldırın. Azure AD.
“Yönetilen cihazlarda görünürlük ve korumaların sürekli iyileştirilmesi, saldırganları alternatif yollar keşfetmeye zorladı. Bu durumda, daha fazla kimlik avı saldırıları için cihaz kaydı kullanılmış olsa da, diğer kullanım durumları gözlemlendiğinden, cihaz kaydından yararlanma artıyor. Ayrıca, bu tekniği kolaylaştırmak için tasarlanmış kalem testi araçlarının hemen kullanılabilirliği, gelecekte kullanımını yalnızca diğer aktörler arasında genişletecektir” diye tavsiyede bulundu.
Dikkat edilmesi gereken boşluklar
Microsoft'un tehdit istihbarat analistleri kısa süre önce yüzlerce kişiyi hedef alan bir kimlik avı kampanyasını işaretledi. işletmeler, bu, çalışanları Office 365'lerine "Yükseltme" adlı bir uygulamaya erişim izni vermeleri için kandırma girişimidir. hesaplar.
Kimlik avı mesajları, kullanıcıları yanıltarak, saldırganların gelen kutusu kuralları oluşturmasına, e-postaları ve takvim öğelerini okumasına ve yazmasına ve kişileri okumasına izin verebilecek uygulama izinlerini verme konusunda yanlış yönlendiriyor. Microsoft, Azure AD'de uygulamayı devre dışı bıraktı ve etkilenen müşterilere bilgi verdi" dedi.
Saldırganlar ayrıca sahte uygulamalar kullanarak, yetkilendirme kodlarını çalarak veya kimlik bilgileri yerine erişim belirteçleri alarak Office 365 Çok Faktörlü Kimlik Doğrulamayı atlayabilir.
Daha önce bilgisayar korsanlarının bu saldırılarına kurban gittiniz mi? Aşağıdaki yorum bölümünde deneyiminizi bizimle paylaşın.
