Счёт успеха
Эксперты компании Proofpoint, занимающиеся вопросами безопасности облачных сред (Cloud Security Response Team - CSRT) выявили сравнительно обширную фишинговую кампанию в облаке Microsoft Azure, целью которой регулярно становятся аккаунты, принадлежащие высокопоставленным руководителям коммерческих предприятий. На данным момент речь идёт о захвате сотен пользовательских аккаунтов в десятках различных сред.
Потенциальным жертвам пересылаются документы со встроенными ссылками, которые имитируют кнопки «просмотреть документ» (View document). В результате жертвы попадают на фишинговые сайты, где хакеры пытаются выманить у них реквизиты доступа.
По всей видимости, злоумышленники производят предварительную разведку: в большинстве случаев, фишинговые письма отправляются адресатам с повышенным уровнем полномочий в целевой организации - директорам по продажам, аккаунт-менеджерам, финансовым менеджерам. Среди жертв атак - действующие президенты и вице-президенты, директора по финансам и исполнительные директора.
Успешные атаки на высокопоставленных лиц обеспечивают злоумышленникам расширенные возможности по доступу к ресурсам атакованных организаций, отмечают в Proofpoint.
«Кто именно становится непосредственной жертвой атаки, зависит от конечных целей злоумышленников, но в любом случае, чем выше в организации позиция лица, ставшего жертвой фишинга, тем шире дальнейшие возможности хакеров», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – По его словам, необходимо сегментировать сетевые ресурсы таким образом, чтобы никакой взлом не обеспечивал хакерам тотального доступа к корпоративным ресурсам. «Необходимо также настроить системы выявления событий таким образом, чтобы блокировать атаку в зародыше - даже если фишинговая атака была успешной», - подытожил Михаил Зайцев.
Технические подробности
Аналитики Proofpoint определили следующую строку пользовательского агента под Linux, которую злоумышленники используют для получения несанкционированного доступа к приложениям Microsoft365:
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Этот агент ранее удалось увязать со множеством действий, производившихся после первичной компрометации, например, манипуляциями с многофакторной аутентификацией, выводом данных, внутренним и внешним фишингом, финансовым мошенничеством и созданием различных правил по обфускации (маскировки данных) в почтовых ящиках.
Аналитики Proofpoint заявляют, что им удалось пронаблюдать случаи неавторизованного доступа к следующим компонентам Microsoft 365:
WCSS-клиент Office365 Shell. Это может указывать на использование браузера для получения доступа к приложениям Office365, а значит, взаимодействие с пакетом осуществлялось через Интернет.
Office 365 Exchange Online. Злоумышленники использовали эту службу для манипуляций с электронной почтой, включая кражу данных и вторичный фишинг.
My Signins. Использовался злоумышленниками для манипулирования многофакторной аутентификацией (MFA).
My Apps. Компонент использовался для получения доступа и, возможно, изменения настроек или разрешений приложений в среде Microsoft 365.
My Profile. Вероятно, злоумышленники пытались изменить личные настройки и настройки безопасности скомпрометированных пользователей для сохранения несанкционированного доступа или повышения привилегий.
Экспертам Proofpoint удалось выявить также прокси-серверы, хостинг-сервисы и домены, захваченные злоумышленниками и используемыми в качестве инфраструктуры для проведения атак. Прокси-серверы подбираются таким образом, чтобы располагаться на минимальном расстоянии от сетей потенциальных жертв и избегать вероятности географических блокировок или проблем с многофакторной аутентификацией.
Среди прочего в публикации Proofpoint упоминаются свидетельства тому, что сами по себе злоумышленники могут физически располагаться на территории России или Нигерии. Однако эти свидетельства названы косвенными и даже «неубедительными»: речь идёт об использовании ресурсов определённых поставщиков фиксированного доступа в интернет.
Эксперты Proofpoint предлагают следующие меры защиты: во-первых, обеспечить отслеживание вышеупомянутой строки пользовательского агента и доменов, с которых осуществлялись атаки. Во-вторых, немедленно сбрасывать скомпрометированные пароли и регулярно их менять у всех пользователей. Скомпрометированные аккаунты также необходимо немедленно отключать. В-третьих, развернуть у себя защитные решения и инструменты по предотвращению фишинговых атак, брутфорса и распыления паролей, а также сформировать политики по автоматизации реагирования на угрозы. Защитные решения также необходимо настроить на выявление событий, указывающих на попытки перехвата паролей.
Оперативность реагирования, указывают в Proofpoint, является залогом тому, что злоумышленники не успеют причинить много вреда.