Microsoft, istenmeyen e-postaları daha da yaymak ve bulaşma havuzunu genişletmek için kurbanın ağındaki cihazları kaydetmek için çalınan kimlik bilgilerini kullanan büyük ölçekli, çok aşamalı bir kimlik avı kampanyasının ayrıntılarını açıkladı.
Teknoloji devi, saldırıların çok faktörlü kimlik doğrulama (MFA) kullanılarak güvence altına alınmayan hesaplar aracılığıyla ortaya çıktığını ve böylece düşmanın hedefin kendi cihazını getir (BYOD) politikasından yararlanmasını ve kendi cihazını tanıtmasını mümkün kıldığını söyledi. çalınan kimlik bilgilerini kullanan hileli cihazlar.
Saldırılar iki aşamada gerçekleşti. Microsoft 365 Defender Threat Intelligence Team, “İlk kampanya aşaması, ağırlıklı olarak Avustralya, Singapur, Endonezya ve Tayland’da bulunan hedef kuruluşlarda kimlik bilgilerinin çalınmasını içeriyordu.” söz konusu Bu hafta yayınlanan teknik bir raporda.
“Çalınan kimlik bilgileri, daha sonra, saldırganların, hem yan kimlik avı yoluyla hem de giden spam yoluyla ağın ötesine geçerek kuruluş içindeki yerlerini genişletmek için güvenliği ihlal edilmiş hesapları kullandığı ikinci aşamada kullanıldı.”
Kampanya, kullanıcıların bir bağlantı içeren DocuSign markalı bir kimlik avı cazibesi almasıyla başladı; bu, tıkladıktan sonra alıcıyı Office 365’in kimlik bilgilerini çalması için oturum açma sayfası gibi görünen sahte bir web sitesine yönlendirdi.
Kimlik bilgisi hırsızlığı, yalnızca farklı şirketlerde 100’den fazla posta kutusunun ele geçirilmesiyle sonuçlanmadı, aynı zamanda saldırganların algılamayı engellemek için bir gelen kutusu kuralı uygulamasını da sağladı. Bunu, yönetilmeyen bir Windows cihazını şirketin Azure Active Directory’sine kaydettirmek için MFA korumalarının eksikliğini kötüye kullanan ikinci bir saldırı dalgası izledi (AD) kötü niyetli mesajları örnekleyebilir ve yayabilir.
Saldırgan kontrollü cihazı ağa bağlayarak, yeni teknik, saldırganların dayanaklarını genişletmeyi, saldırıyı gizlice çoğaltmayı ve hedeflenen ağ boyunca yanal olarak hareket etmeyi mümkün kıldı.
Microsoft, “Saldırganlar, ikinci dalgayı başlatmak için hedeflenen kullanıcının güvenliği ihlal edilmiş posta kutusundan yararlanarak hem kurban organizasyonun içinde hem de dışında 8500’den fazla kullanıcıya kötü amaçlı mesajlar gönderdi” dedi. “E-postalar, alıcıları paylaşılan ‘Payment.pdf’ dosyasının meşru olduğuna ikna etmek amacıyla ileti gövdesi olarak bir SharePoint paylaşım davetiyesi kullandı.”
Gelişme, e-posta tabanlı sosyal mühendislik saldırılarının, işletmelere ilk giriş elde etmek ve güvenliği ihlal edilmiş sistemlere kötü amaçlı yazılım bırakmak için saldırmak için en baskın araç olmaya devam etmesiyle ortaya çıkıyor.
Bu ayın başlarında, Netskope Threat Labs ifşa ile ilişkilendirilen kötü niyetli bir kampanya OkyanusLotus bilgi çalan kötü amaçlı yazılımları dağıtmak için web arşiv dosyası (.MHT) ekleri gibi standart olmayan dosya türlerini kullanarak imza tabanlı algılamaları atlayan grup.
MFA’yı açmanın yanı sıra, iyi kimlik bilgisi hijyeni ve ağ segmentasyonu gibi en iyi uygulamaları uygulamak, “ağ üzerinden yayılmaya çalışan saldırganların ‘maliyetini’ artırabilir.”
Microsoft, “Bu en iyi uygulamalar, bir saldırganın yanlamasına hareket etme ve ilk izinsiz girişten sonra varlıkları tehlikeye atma yeteneğini sınırlayabilir ve etki alanları arasında görünürlük sağlayan ve koruma bileşenleri arasında tehdit verilerini koordine eden gelişmiş güvenlik çözümleriyle tamamlanmalıdır.”
