Новости Microsoft: взлом корпоративной почты занимает 2 часа – у жертв не остаётся шансов на защиту

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

127 минут – от входа в систему до выхода из взломанного аккаунта.​


bjnwpb6f0rjqpvzk8okepb4xy0adqeer.jpg


Группа Microsoft Security Intelligence Для просмотра ссылки Войди или Зарегистрируйся с компрометацией корпоративной электронной почты ( Для просмотра ссылки Войди или Зарегистрируйся ) и обнаружила, что злоумышленники действуют быстро, а некоторые шаги занимают всего несколько минут.

Весь процесс – от входа в систему с использованием украденных учетных данных до регистрации доменов с опечатками ( Для просмотра ссылки Войди или Зарегистрируйся ) и захвата ветки электронной почты – занял у злоумышленников всего пару часов. Такое быстрое развитие атаки гарантирует, что у целей будет минимальная возможность выявить признаки мошенничества и принять превентивные меры.

Расследованная Microsoft BEC-атака началась с того, что злоумышленник провёл атаку «противник посередине» (Adversary-in-The-Middle, Для просмотра ссылки Войди или Зарегистрируйся ) для кражи Для просмотра ссылки Войди или Зарегистрируйся -файла сеанса жертвы, чтобы обойти защиту MFA ( Для просмотра ссылки Войди или Зарегистрируйся ). Хакер использовал cookie-файл сеанса для получения доступа от имени скомпрометированной учетной записи.

Киберпреступник вошел в учетную запись жертвы 5 января 2023 года и потратил 2 часа на поиск в почтовом ящике подходящих веток писем для захвата ( Для просмотра ссылки Войди или Зарегистрируйся ).

После этого злоумышленник зарегистрировал поддельные домены, используя омоглифы, чтобы они имитировали названия сайтов целевой организации или компании-партнёра (Омоглифы — графически одинаковые или похожие друг на друга знаки, имеющие разное значение. Например, латинская «a» и кириллическая «а»; ноль «0» и буква «о»).

Через 5 минут хакер создал правило для папки «Входящие», чтобы переносить электронные письма из партнерской организации в определенную папку. Затем в течение 1 минуты злоумышленник отправил деловому партнеру вредоносное электронное письмо с просьбой изменить инструкцию по банковскому переводу и сразу же удалил отправленное сообщение, чтобы снизить вероятность того, что скомпрометированный сотрудник обнаружит взлом.


ic163137o8y3mqbz21dmfcbjdqg69yqq.png

Цепочка BEC-атаки С момента первого входа в систему до удаления отправленного письма прошло в общей сложности 127 минут. Защитник Microsoft 365 (Microsoft 365 Defender) отобразил предупреждение об атаке через 20 минут после того, как киберпреступник удалил отправленное электронное письмо и автоматически прервал атаку, выйдя из учетной записи пользователя.

Чип Гиббонс, директор по информационной безопасности Thrive заявил, что в 2023 году Для просмотра ссылки Войди или Зарегистрируйся будет основным методом атаки киберпреступников и самым простым путем проникновения в организацию. С ростом числа эксплойтов нулевого дня компании будут стремиться уменьшить доступное внешнее воздействие. Кроме того, многофакторная аутентификация (МФА) будет повсеместной и обязательной.
 
Источник новости
www.securitylab.ru

Похожие темы