Исследователи Microsoft 365 Defender разрушили облачную инфраструктуру, используемую мошенниками в недавней крупномасштабной кампании по взлому корпоративной электронной почты (BEC).
Злоумышленники скомпрометировали почтовые ящики своих целей, используя фишинг и перехваченную конфиденциальную информацию в электронных письмах, соответствующих правилам пересылки, что позволило им получить доступ к сообщениям, связанным с финансовыми транзакциями.
Первоначальный доступ через фишинг
«Использование инфраструктуры злоумышленников, размещенной в нескольких веб-службах, позволило злоумышленникам действовать незаметно, что характерно для кампаний BEC», - пояснил Ник Карр из исследовательской группы Microsoft 365 Defender Research Team и Microsoft Threat Intelligence Center (MSTIC) .«Злоумышленники выполняли отдельные действия для разных IP-адресов и периодов времени, из-за чего исследователям было сложнее сопоставить, казалось бы, несопоставимые действия как одну операцию».
Исследователи Microsoft раскрыли весь поток атак, стоящих за недавним инцидентом BEC, от первоначального доступа к почтовым ящикам жертвы до получения постоянных данных и кражи данных с использованием правил пересылки электронной почты.
Информация для входа была украдена с помощью фишинговых сообщений, которые перенаправляли цели на целевые страницы, имитирующие страницы входа Microsoft, с просьбой ввести свои пароли в предварительно заполненное поле имени пользователя.
Устаревшие протоколы аутентификации, используемые для обхода MFA
Хотя использование украденных учетных данных для взлома почтовых ящиков блокируется путем включения многофакторной аутентификации (MFA), Microsoft также обнаружила, что злоумышленники использовали устаревшие протоколы, такие как IMAP / POP3, для отправки электронной почты и обхода MFA в учетных записях Exchange Online, когда цели не могли переключиться. выкл. устаревшую аутентификацию.«Учетные данные проверяются с помощью пользовательского агента« BAV2ROPC », который, вероятно, является базой кода, использующей устаревшие протоколы, такие как IMAP / POP3, против Exchange Online», - заявили исследователи.
«Это приводит к потоку ROPC OAuth, который возвращает« invalid_grant »в случае, если MFA включен, поэтому уведомление MFA не отправляется».
Злоумышленники также использовали облачную инфраструктуру, нарушенную Microsoft, для масштабной автоматизации операций, «включая добавление правил, наблюдение и мониторинг скомпрометированных почтовых ящиков, поиск наиболее ценных жертв и работу с пересылаемыми электронными письмами».
Microsoft также обнаружила, что мошенники использовали BEC-активность, исходящую из нескольких диапазонов IP-адресов, принадлежащих нескольким облачным провайдерам.
Они также настроили записи DNS, которые почти совпадали с записями их жертв, чтобы их вредоносная деятельность сливалась с уже существующими электронными разговорами и ускользала от обнаружения.