Началась кампания по захвату аккаунтов в Microsoft Azure. Основная цель - высокопоставленные управленцы.
Специалисты компании Proofpoint выявили кампанию фишинговых атак в облаке Microsoft Azure. Злоумышленники могут действовать из России или Нигерии, но это не точно. Точно то, что число жертв идёт на сотни. Нередко жертвами становятся самые высокопоставленные сотрудники коммерческих структур.
Счёт успеха
Эксперты компании Proofpoint, занимающиеся вопросами безопасности облачных сред (Cloud Security Response Team - CSRT) выявили сравнительно обширную фишинговую кампанию в облаке Microsoft Azure, целью которой регулярно становятся аккаунты, принадлежащие высокопоставленным руководителям коммерческих предприятий. На данным момент речь идёт о захвате сотен пользовательских аккаунтов в десятках различных сред.
Потенциальным жертвам пересылаются документы со встроенными ссылками, которые имитируют кнопки «просмотреть документ» (View document). В результате жертвы попадают на фишинговые сайты, где хакеры пытаются выманить у них реквизиты доступа.
По всей видимости, злоумышленники производят предварительную разведку: в большинстве случаев, фишинговые письма отправляются адресатам с повышенным уровнем полномочий в целевой организации - директорам по продажам, аккаунт-менеджерам, финансовым менеджерам. Среди жертв атак - действующие президенты и вице-президенты, директора по финансам и исполнительные директора.
Успешные атаки на высокопоставленных лиц обеспечивают злоумышленникам расширенные возможности по доступу к ресурсам атакованных организаций, отмечают в Proofpoint.
«Кто именно становится непосредственной жертвой атаки, зависит от конечных целей злоумышленников, но в любом случае, чем выше в организации позиция лица, ставшего жертвой фишинга, тем шире дальнейшие возможности хакеров», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – По его словам, необходимо сегментировать сетевые ресурсы таким образом, чтобы никакой взлом не обеспечивал хакерам тотального доступа к корпоративным ресурсам. «Необходимо также настроить системы выявления событий таким образом, чтобы блокировать атаку в зародыше - даже если фишинговая атака была успешной», - подытожил Михаил Зайцев.
Технические подробности
Аналитики Proofpoint определили следующую строку пользовательского агента под Linux, которую злоумышленники используют для получения несанкционированного доступа к приложениям Microsoft365:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Этот агент ранее удалось увязать со множеством действий, производившихся после первичной компрометации, например, манипуляциями с многофакторной аутентификацией, выводом данных, внутренним и внешним фишингом, финансовым мошенничеством и созданием различных правил по обфускации (маскировки данных) в почтовых ящиках.
Аналитики Proofpoint заявляют, что им удалось пронаблюдать случаи неавторизованного доступа к следующим компонентам Microsoft 365:
WCSS-клиент Office365 Shell. Это может указывать на использование браузера для получения доступа к приложениям Office365, а значит, взаимодействие с пакетом осуществлялось через Интернет.
Office 365 Exchange Online. Злоумышленники использовали эту службу для манипуляций с электронной почтой, включая кражу данных и вторичный фишинг.
My Signins. Использовался злоумышленниками для манипулирования многофакторной аутентификацией (MFA).
My Apps. Компонент использовался для получения доступа и, возможно, изменения настроек или разрешений приложений в среде Microsoft 365.
My Profile. Вероятно, злоумышленники пытались изменить личные настройки и настройки безопасности скомпрометированных пользователей для сохранения несанкционированного доступа или повышения привилегий.
Экспертам Proofpoint удалось выявить также прокси-серверы, хостинг-сервисы и домены, захваченные злоумышленниками и используемыми в качестве инфраструктуры для проведения атак. Прокси-серверы подбираются таким образом, чтобы располагаться на минимальном расстоянии от сетей потенциальных жертв и избегать вероятности географических блокировок или проблем с многофакторной аутентификацией.
Среди прочего в публикации Proofpoint упоминаются свидетельства тому, что сами по себе злоумышленники могут физически располагаться на территории России или Нигерии. Однако эти свидетельства названы косвенными и даже «неубедительными»: речь идёт об использовании ресурсов определённых поставщиков фиксированного доступа в интернет.
Эксперты Proofpoint предлагают следующие меры защиты: во-первых, обеспечить отслеживание вышеупомянутой строки пользовательского агента и доменов, с которых осуществлялись атаки. Во-вторых, немедленно сбрасывать скомпрометированные пароли и регулярно их менять у всех пользователей. Скомпрометированные аккаунты также необходимо немедленно отключать. В-третьих, развернуть у себя защитные решения и инструменты по предотвращению фишинговых атак, брутфорса и распыления паролей, а также сформировать политики по автоматизации реагирования на угрозы. Защитные решения также необходимо настроить на выявление событий, указывающих на попытки перехвата паролей.
Оперативность реагирования, указывают в Proofpoint, является залогом тому, что злоумышленники не успеют причинить много вреда.