Новости Охотники за данными атакуют Microsoft Azure и Office 365: сотни директоров под прицелом... Кто следующий?

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Эксперты Proofpoint поделились лайфхаками, которые помогут не стать жертвой мошенников.


7gotuw1rz2xl8dbo0g31kjch1i34879f.jpg


В конце ноября 2023 года была обнаружена фишинговая кампания, которая привела к компрометации сотен учётных записей пользователей в десятках сред Microsoft Azure , включая аккаунты высшего руководства.

Злоумышленники особенно часто нацеливаются на аккаунты руководителей, поскольку они дают доступ к конфиденциальной корпоративной информации, позволяют одобрять мошеннические финансовые операции и дают возможность использовать критически важные системы для дальнейших атак как на саму организацию, так и на её партнёров.

Команда по безопасности облачных сервисов Proofpoint , отслеживающая эту вредоносную активность, Для просмотра ссылки Войди или Зарегистрируйся , в котором выделила используемые злоумышленниками уловки и предложила эффективные меры защиты.

В рассмотренной вредоносной кампании используются офисные документы, содержащие ссылки, замаскированные под кнопки «Просмотреть документ» и ведущие жертв на фишинговые страницы.

Proofpoint отмечает, что сообщения нацелены на сотрудников, вероятно обладающих высшими привилегиями в их организациях, что повышает ценность успешной компрометации учётной записи.

К числу частых целей относятся директора по продажам, менеджеры по работе с клиентами и финансовые менеджеры. Среди целей также оказались лица, занимающие исполнительные должности, такие как операционный вице-президент, главный финансовый директор и даже генеральный директор, объясняют в Proofpoint.

Исследователи выявили следующую строку user-agent Linux, которую атакующие используют для несанкционированного доступа к приложениям Microsoft 365 : «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36»

Этот user-agent был связан с различными действиями после компрометации, такими как манипулирование MFA, эксфильтрация данных, внутренний и внешний фишинг, финансовое мошенничество и создание правил обфускации в почтовых ящиках.

Proofpoint также наблюдала несанкционированный доступ к следующим компонентам Microsoft 365:

  • WCSS-клиент оболочки Office 365: указывает на доступ к приложениям Office 365 через браузер, предполагая веб-взаимодействие с пакетом.
  • Office 365 Exchange Online: показывает, что атакующие нацеливаются на эту службу для злоупотреблений, связанных с электронной почтой, включая эксфильтрацию данных и латеральный фишинг.
  • Мои учётные записи: используется атакующими для манипуляций с многофакторной аутентификацией (MFA).
  • Мои приложения: атаки нацелены на доступ и возможное изменение конфигураций или разрешений приложений в среде Microsoft 365.
  • Мой профиль: указывает на попытки изменить настройки безопасности пользователя, возможно, для поддержания несанкционированного доступа или эскалации привилегий.
Proofpoint также сообщает, что операционная инфраструктура злоумышленников включает прокси, службы хостинга данных и захваченные домены. Прокси выбираются таким образом, чтобы быть ближе к целям и снизить вероятность блокировки атак.

В качестве мер защиты от продолжающейся кампании, которые могут помочь улучшить организационную безопасность в средах Microsoft Azure и Office 365, Proofpoint предлагает следующие меры:

  • мониторинг использования вышеуказанного user-agent и доменов-источников в журналах;
  • немедленный сброс скомпрометированных паролей захваченных аккаунтов и периодическая смена паролей для всех пользователей;
  • использование инструментов безопасности для быстрого обнаружения событий захвата аккаунтов;
  • применение стандартных средств защиты от фишинга, брутфорса и атак методом подбора паролей;
  • внедрение политик для автоматического реагирования на угрозы.
Эти меры могут помочь обнаружить инциденты на ранней стадии, быстро реагировать на них и максимально сократить время пребывания атакующих в системе.
 
Источник новости
www.securitylab.ru

Похожие темы