Ovaj phishing napad koristi neobičan trik za dalje širenje
Napadači upisuju Outlook na BYO uređaje pomoću Azure AD, a zatim šire SharePoint PDF mamce.
Microsoft je podigao uzbunu zbog nove višefazne phishing kampanje koja prvo upisuje napadačev BYOD uređaj na korporativnu mrežu, a zatim počinje slati hiljade uvjerljivih phishing e-mailova daljnjim ciljevima.
Svrha registracije ili registracije uređaja na mreži ciljne kompanije bila je izbjegavanje otkrivanja tokom kasnijih phishing napada, navodi Microsoft.
Microsoft kaže da na "većinu" organizacija koje su omogućile višefaktorsku autentifikaciju (MFA) za Office 365 nisu uticale phishing e-poruke koje su širili registrovani uređaji pod kontrolom napadača, ali su pogođene sve one koje nisu omogućile MFA.
Napad je eksploatisao slučajeve u kojima MFA nije primenjen tokom procesa registracije novog uređaja sa instancom Microsoft-ove usluge identiteta kompanije, Azure Active Directory (Azure AD); ili kada upisujete BYOD uređaj na platformu za upravljanje mobilnim uređajima (MDM) kao što je Microosft's Intune.
"Dok je više korisnika unutar različitih organizacija bilo kompromitovano u prvom talasu, napad nije napredovao dalje od ove faze za većinu ciljeva jer su imali omogućen MFA. Širenje napada se u velikoj meri oslanjalo na nedostatak MFA protokola", rekao je Microsoft.
„Omogućavanje MFA za Office 365 aplikacije ili prilikom registracije novih uređaja moglo je poremetiti drugu fazu lanca napada“, dodaje se.
Prvi talas napada bio je usmeren na organizacije u Australiji, Singapuru, Indoneziji i Tajlandu, navodi Microsoft. "Stotine" akreditiva ukradenih u ovoj fazi su zatim korišćene u drugoj fazi gde je uređaj registrovan ili registrovan, omogućavajući širi prodor u metu.
Prva faza se oslanjala na DocuSign brendiranu phishing e-poruku koja je tražila da primalac pregleda i potpiše dokument. Koristio je phishing domene registrovane pod .xyz domenom najvišeg nivoa (TLD). Veza za krađu identiteta svake e-pošte je također jedinstveno generirana i sadržavala je ime cilja u URL-u. Veza za phishing usmjerila je žrtve na lažnu stranicu za prijavu na Office 365.
Napadači su koristili ukradene vjerodajnice za uspostavljanje veze s Exchange Online PowerShell-om i koristili ovo za kreiranje pravila za prijemno sanduče koja su brisala poruke na osnovu ključnih riječi u predmetu ili tijelu e-pošte, uključujući 'smeće', 'spam', 'phishing', ' hakovano', 'lozinka' i 'sa vama'. Ovo je vjerovatno da bi se izbjeglo otkrivanje.
U drugoj fazi, napadači su instalirali Microsoftov Outlook klijent e-pošte na svoj Windows 10 PC, koji je potom uspješno povezan sa žrtvinim Azure AD-om. Sve što su napadači morali da urade bilo je da prihvate Outlookovo iskustvo uključivanja koje traži od korisnika da registruje uređaj. U ovom slučaju, napadači su koristili akreditive stečene u prvoj fazi.
„Azure AD MFA politika bi zaustavila lanac napada u ovoj fazi“, napominje Microsoft.
Azure AD ima alate za ublažavanje ovih prijetnji označavanjem vremena i evidentiranjem novih registracija uređaja.
Pročitajte više: Da li bi nas umjetna inteligencija mogla ubiti?
