Μια phishing καμπάνια που εντοπίστηκε το Νοέμβριο του περασμένου έτους έχει επηρεάσει εκατοντάδες λογαριασμούς χρηστών σε δεκάδες περιβάλλοντα Microsoft Azure, συμπεριλαμβανομένων εκείνων ανώτερων στελεχών.
Είναι γνωστό ότι οι hackers στοχεύουν λογαριασμούς υψηλόβαθμων στελεχών καθώς μπορούν να αποκτήσουν πρόσβαση σε σημαντικές εταιρικές πληροφορίες, να εγκρίνουν οικονομικές συναλλαγές και να εισχωρήσουν σε κρίσιμα συστήματα.
Ερευνητές της Proofpoint παρακολούθησαν την κακόβουλη δραστηριότητα και δημοσίευσαν πληροφορίες σχετικά με τα δολώματα που χρησιμοποιούν οι hackers.
Δείτε επίσης: AI SPERA: Κυκλοφόρησε το Criminal IP ASM στο Microsoft Azure Marketplace
Οι επιτιθέμενοι στέλνουν phishing emails που περιέχουν έγγραφα με ενσωματωμένους συνδέσμους μεταμφιεσμένους σε κουμπιά “View document“. Πατώντας εκεί, τα θύματα οδηγούνται σε phishing sites.
Η Proofpoint λέει ότι τα μηνύματα στοχεύουν υπαλλήλους που είναι πιο πιθανό να έχουν υψηλότερα προνόμια. Οι πιο συχνοί στόχοι είναι Διευθυντές Πωλήσεων, Account Managers και Οικονομικοί Διευθυντές, Αντιπρόεδροι, Πρόεδροι και Διευθύνοντες Σύμβουλοι.
Οι αναλυτές εντόπισαν το ακόλουθο Linux user-agent string, που χρησιμοποιούν οι επιτιθέμενοι για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στις εφαρμογές του Microsoft365:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Αυτός ο user agent έχει συσχετιστεί με κατάχρηση MFA, εξαγωγή δεδομένων, εσωτερικό και εξωτερικό phishing, οικονομικές απάτες και δημιουργία obfuscation rules σε mailboxes.
Δείτε επίσης: Microsoft Outlook: Οι ενημερώσεις Δεκεμβρίου προκαλούν ειδοποιήσεις ασφαλείας ICS
Η Proofpoint λέει ότι έχει παρατηρήσει μη εξουσιοδοτημένη πρόσβαση στα ακόλουθα στοιχεία του Microsoft365:
Office365 Shell WCSS-Client: Υποδεικνύει πρόσβαση του προγράμματος περιήγησης στις εφαρμογές του Office365
Office 365 Exchange Online: Δείχνει ότι οι εισβολείς στοχεύουν αυτήν την υπηρεσία για καταχρήσεις που σχετίζονται με μηνύματα ηλεκτρονικού ταχυδρομείου (π.χ. κλοπή δεδομένων και phishing επιθέσεις σε άλλους λογαριασμούς Microsoft Azure)
My Apps: Χρησιμοποιείται για πρόσβαση και πιθανή τροποποίηση διαμορφώσεων ή αδειών εφαρμογών εντός του περιβάλλοντος Microsoft 365.
My Profile: Προσπάθειες τροποποίησης των προσωπικών ρυθμίσεων και των ρυθμίσεων ασφαλείας του χρήστη, για απόκτηση περαιτέρω πρόσβασης σε συστήματα.
My Signins: Χρησιμοποιείται για την κατάχρηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Η Proofpoint παρατήρησε ότι οι επιτιθέμενοι χρησιμοποιούν proxies, υπηρεσίες φιλοξενίας δεδομένων και domains που έχουν παραβιαστεί.
Μέτρα προστασίας
H Proofpoint προτείνει διάφορα μέτρα άμυνας για την προστασία των Microsoft Azure και Office 365 accounts:
- Παρακολούθηση για τη χρήση του user-agent string που αναφέρθηκε παραπάνω και source domains στα αρχεία καταγραφής.
- Επαναφορά κωδικών πρόσβασης παραβιασμένων λογαριασμών
- Χρήση εργαλείων ασφαλείας για τον άμεσο εντοπισμό προσπαθειών κλοπής λογαριασμών
- Εφαρμογή industry-standard μέτρων έναντι επιθέσεων phishing, brute-forcing και spraying password
- Εφαρμογή πολιτικών για αυτόματη αντιμετώπιση απειλών
Η λήψη των παραπάνω μέτρων είναι απαραίτητη γιατί οι επιπτώσεις από τις παραβιάσεις μπορεί να είναι πολλές:
Οι phishing επιθέσεις σε Microsoft Azure accounts μπορούν να οδηγήσουν σε απώλεια εμπιστευτικών δεδομένων, όπως προσωπικές πληροφορίες, εταιρικά έγγραφα και πληροφορίες πελατών.
Δείτε επίσης: Microsoft Teams: Χρησιμοποιείται σε phishing επιθέσεις για διανομή του DarkGate malware
Έπειτα, μια παραβίαση μπορεί να οδηγήσει σε οικονομικές απώλειες. Αυτό μπορεί να περιλαμβάνει τόσο το κόστος της αποκατάστασης της ασφάλειας και της αποκατάστασης των δεδομένων, όσο και τις δυνητικές απώλειες εσόδων λόγω της διακοπής των επιχειρηματικών δραστηριοτήτων.
Επιπλέον, σημαντική ζημιά μπορεί να υπάρξει και στη φήμη της εταιρείας. Οι πελάτες και οι εταίροι μπορεί να αμφιβάλλουν για την ικανότητα της εταιρείας να προστατεύει τα δεδομένα τους, το οποίο μπορεί να έχει μακροπρόθεσμες επιπτώσεις στην επιχείρηση.
Τέλος, μια phishing επίθεση σε Microsoft Azure accounts μπορεί να οδηγήσει σε νομικές συνέπειες. Ανάλογα με τη φύση των δεδομένων που παραβιάστηκαν και την τοποθεσία της εταιρείας, η εταιρεία μπορεί να αντιμετωπίσει πρόστιμα ή άλλες νομικές επιπτώσεις.
Πηγή: www.bleepingcomputer.com
