Οι ερευνητές ασφαλείας της Microsoft ανακάλυψαν μια μεγάλης κλίμακας, πολλαπλών φάσεων καμπάνια phishing, που χρησιμοποιεί κλεμμένα διαπιστευτήρια για να καταχωρεί συσκευές στο δίκτυο του στόχου και να τις χρησιμοποιεί για τη διανομή email phishing.
Δείτε επίσης: Microsoft: Widgets τρίτων έρχονται σύντομα στα Windows 11
Όπως υπογραμμίζει η έκθεση, οι επιθέσεις εκδηλώθηκαν μόνο μέσω λογαριασμών που δεν διέθεταν προστασία ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), γεγονός που διευκόλυνε την πειρατεία τους.
Ο κακόβουλος χρήστης ανέπτυξε τις επιθέσεις σε δύο στάδια: Το πρώτο είχε σχεδιαστεί για να κλέψει τα διαπιστευτήρια email του παραλήπτη, παρασύροντάς τον με ένα email με θέμα το DocuSign που προτρέπει την αναθεώρηση και την υπογραφή ενός εγγράφου.
Οι ενσωματωμένοι σύνδεσμοι οδηγούν το θύμα σε μια διεύθυνση URL ηλεκτρονικού ψαρέματος που μιμείται τη σελίδα σύνδεσης του Office 365 και συμπληρώνει εκ των προτέρων το όνομα χρήστη του θύματος για αυξημένη αξιοπιστία.
Τα δεδομένα τηλεμετρίας της Microsoft δείχνουν ότι η πρώτη φάση των επιθέσεων επικεντρώθηκε κυρίως σε εταιρείες που βρίσκονται στην Αυστραλία, τη Σιγκαπούρη, την Ινδονησία και την Ταϊλάνδη.
Οι κακόβουλοι παράγοντες, προσπάθησαν να θέσουν σε κίνδυνο τους απομακρυσμένους υπαλλήλους, τα ανεπαρκώς προστατευμένα σημεία εξυπηρέτησης και άλλες υποδομές που ενδέχεται να λειτουργούν εκτός αυστηρών πολιτικών ασφαλείας.
Δείτε ακόμα: Microsoft: Καταστροφικό malware, που παρουσιάζεται σαν ransomware, στοχεύει την Ουκρανία
Οι αναλυτές της Microsoft μπόρεσαν να εντοπίσουν την απειλή, ανιχνεύοντας την ανώμαλη δημιουργία κανόνων εισερχομένων, τους οποίους οι κακόβουλοι χρήστες πρόσθεσαν αμέσως μετά την απόκτηση του ελέγχου των εισερχομένων για να κρατήσουν μακριά τα μηνύματα ειδοποιήσεων που θα μπορούσαν να προκαλέσουν υποψίες.
Η έρευνα που ακολούθησε αποκάλυψε ότι πάνω από εκατό ηλεκτρονικά γραμματοκιβώτια σε πολλούς οργανισμούς είχαν παραβιαστεί με “Φίλτρο ανεπιθύμητης αλληλογραφίας”.
Έχοντας εύκαιρα τα διαπιστευτήρια, οι εισβολείς εγκατέστησαν το Outlook στον δικό τους υπολογιστή (Windows 10) και συνδέθηκαν στον λογαριασμό email του χρήστη. Αυτή η ενέργεια έκανε τη συσκευή του εισβολέα να συνδεθεί αυτόματα με την εταιρεία Azure Active Directory και να την καταχωρήσει.
Μόλις η συσκευή του εισβολέα προστέθηκε στο δίκτυο των οργανισμών, ο παράγοντας απειλής προχώρησε στο δεύτερο στάδιο, στέλνοντας μηνύματα ηλεκτρονικού ταχυδρομείου σε υπαλλήλους της στοχευμένης εταιρείας και εξωτερικούς στόχους, όπως εργολάβους, προμηθευτές ή συνεργάτες.
Δεδομένου ότι αυτά τα μηνύματα προέρχονται από έναν αξιόπιστο χώρο εργασίας, δεν επισημαίνονται από προγράμματα ασφαλείας και φέρουν ένα εγγενές στοιχείο νομιμότητας που ενισχύει τις πιθανότητες επιτυχίας των κακόβουλων χρηστών.
Δείτε επίσης: Google Drive: Προειδοποιεί για ύποπτα αρχεία που χρησιμοποιούνται για phishing/malware
Το δεύτερο κύμα μηνυμάτων ηλεκτρονικού ψαρέματος ήταν πολύ μεγαλύτερο από το πρώτο, μετρώντας πάνω από 8.500 μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα το SharePoint με συνημμένο “Payment.pdf”.
Αυτή η εκστρατεία ηλεκτρονικού ψαρέματος ήταν μετρίως επιτυχημένη, αλλά δεν θα ήταν τόσο αποτελεσματική εάν οι στοχευμένες εταιρείες ακολουθούσαν μία από αυτές τις πρακτικές:
- Όλοι οι υπάλληλοι είχαν ενεργοποιήσει το MFA στους λογαριασμούς τους στο Office 365.
- Λύσεις προστασίας τελικού σημείου που μπορούν να ανιχνεύσουν τη δημιουργία κανόνων εισερχομένων.
- Η εγγραφή συσκευής Azure AD παρακολουθείται στενά.
- Η εγγραφή στο Azure AD απαιτεί MFA.
- Σε όλα τα μέρη του δικτύου του οργανισμού εφαρμόζονται πολιτικές zero trust.
