В конце ноября 2023 года была обнаружена фишинговая кампания, которая привела к компрометации сотен учётных записей пользователей в десятках сред Microsoft Azure, включая аккаунты высшего руководства.
Злоумышленники особенно часто нацеливаются на аккаунты руководителей, поскольку они дают доступ к конфиденциальной корпоративной информации, позволяют одобрять мошеннические финансовые операции и дают возможность использовать критически важные системы для дальнейших атак как на саму организацию, так и на её партнёров.
Команда по безопасности облачных сервисов Proofpoint, отслеживающая эту вредоносную активность, выпустила предупреждение , в котором выделила используемые злоумышленниками уловки и предложила эффективные меры защиты.
В рассмотренной вредоносной кампании используются офисные документы, содержащие ссылки, замаскированные под кнопки “Просмотреть документ” и ведущие жертв на фишинговые страницы.
Proofpoint отмечает, что сообщения нацелены на сотрудников, вероятно обладающих высшими привилегиями в их организациях, что повышает ценность успешной компрометации учётной записи.
К числу частых целей относятся директора по продажам, менеджеры по работе с клиентами и финансовые менеджеры. Среди целей также оказались лица, занимающие исполнительные должности, такие как операционный вице-президент, главный финансовый директор и даже генеральный директор, объясняют в Proofpoint.
Исследователи выявили следующую строку user-agent Linux, которую атакующие используют для несанкционированного доступа к приложениям Microsoft 365 : “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36”
Этот user-agent был связан с различными действиями после компрометации, такими как манипулирование MFA, эксфильтрация данных, внутренний и внешний фишинг, финансовое мошенничество и создание правил обфускации в почтовых ящиках.
Proofpoint также наблюдала несанкционированный доступ к следующим компонентам Microsoft 365:
- WCSS-клиент оболочки Office 365: указывает на доступ к приложениям Office 365 через браузер, предполагая веб-взаимодействие с пакетом.
- Office 365 Exchange Online: показывает, что атакующие нацеливаются на эту службу для злоупотреблений, связанных с электронной почтой, включая эксфильтрацию данных и латеральный фишинг.
- Мои учётные записи: используется атакующими для манипуляций с многофакторной аутентификацией (MFA).
- Мои приложения: атаки нацелены на доступ и возможное изменение конфигураций или разрешений приложений в среде Microsoft 365.
- Мой профиль: указывает на попытки изменить настройки безопасности пользователя, возможно, для поддержания несанкционированного доступа или эскалации привилегий.
Proofpoint также сообщает, что операционная инфраструктура злоумышленников включает прокси, службы хостинга данных и захваченные домены. Прокси выбираются таким образом, чтобы быть ближе к целям и снизить вероятность блокировки атак.
В качестве мер защиты от продолжающейся кампании, которые могут помочь улучшить организационную безопасность в средах Microsoft Azure и Office 365, Proofpoint предлагает следующие меры:
- мониторинг использования вышеуказанного user-agent и доменов-источников в журналах;
- немедленный сброс скомпрометированных паролей захваченных аккаунтов и периодическая смена паролей для всех пользователей;
- использование инструментов безопасности для быстрого обнаружения событий захвата аккаунтов;
- применение стандартных средств защиты от фишинга, брутфорса и атак методом подбора паролей;
- внедрение политик для автоматического реагирования на угрозы.
Эти меры могут помочь обнаружить инциденты на ранней стадии, быстро реагировать на них и максимально сократить время пребывания атакующих в системе.