Аналитики угроз Microsoft обнаружили крупномасштабную, многоэтапную фишинговую кампанию, в ходе которой украденные учетные данные использовались для регистрации устройств в целевой сети и их использования для рассылки фишинговых электронных писем.
Как подчеркивается в отчете, атаки проявлялись только через учетные записи, не защищенные многофакторной аутентификацией (MFA), что упростило их взлом.
Злоумышленник развернул атаки в два этапа, первый из которых был предназначен для кражи учетных данных электронной почты получателя, заманивая их электронными письмами на тему DocuSign, которые призывали просмотреть и подписать документ.
Приманка DocuSign отправлена в первой волне атаки
Источник: Microsoft
Встроенные ссылки перенаправляют жертву на фишинговый URL-адрес, который имитирует страницу входа в Office 365 и предварительно заполняет имя пользователя жертвы для повышения достоверности.
Спам-фильтр, которого не было
Данные телеметрии Microsoft показывают, что первая фаза атак была направлена в основном на фирмы, расположенные в Австралии, Сингапуре, Индонезии и Таиланде.Злоумышленники пытались скомпрометировать удаленно работающих сотрудников, плохо защищенные управляемые точки обслуживания и другую инфраструктуру, которая может работать вне строгих политик безопасности.
Аналитики Microsoft смогли обнаружить угрозу, обнаружив аномальное создание правил для папки «Входящие», которые злоумышленники добавили сразу же после получения контроля над почтой, чтобы не допустить появления уведомляющих ИТ-специалистов, которые могли бы вызвать подозрения.
«Используя удаленное соединение PowerShell, злоумышленник внедрил правило для папки «Входящие» с помощью командлета New-InboxRule, которое удаляло определенные сообщения на основе ключевых слов в теме или теле сообщения электронной почты», — говорится в отчете.
«Правило для папки «Входящие» позволило злоумышленникам не вызывать подозрений у скомпрометированных пользователей, удалив отчеты о недоставке и электронные уведомления ИТ-специалистов, которые могли быть отправлены скомпрометированному пользователю».
Последующее расследование показало, что более сотни почтовых ящиков в нескольких организациях были скомпрометированы вредоносными правилами для почтовых ящиков под названием «Фильтр спама».
Регистрация Azure AD
Имея на руках учетные данные, злоумышленники установили Outlook на свой компьютер (Windows 10) и вошли в учетную запись электронной почты пользователя. Это действие привело к тому, что устройство злоумышленника автоматически подключилось к компании Azure Active Directory и зарегистрировало ее.Вероятно, это произошло из-за того, что первый опыт запуска Outlook был принят путем регистрации с украденными учетными данными, отмечает Microsoft, добавляя, что политика MFA в Azure AD не позволила бы мошеннической регистрации.
Как только устройство злоумышленника было добавлено в сеть организации, субъект угрозы перешел ко второму этапу, отправив электронные письма сотрудникам целевой фирмы и внешним объектам, таким как подрядчики, поставщики или партнеры.
Цепочка фишинговых атак
Источник: Microsoft
Поскольку эти сообщения поступают из доверенной рабочей области, они не помечаются решениями по обеспечению безопасности и несут в себе неотъемлемый элемент легитимности, повышающий шансы участников на успех.
Регистрируя мошеннические устройства, злоумышленник, вероятно, надеялся применить политики, которые облегчили бы латеральный фишинг.
Azure AD запускает метку времени действия, когда устройство пытается пройти аутентификацию, что было второй возможностью для защитников обнаружить подозрительные регистрации.
Подозрительное событие регистрации
Источник: Microsoft
Если регистрация проходит незамеченной, субъекты могут отправлять сообщения из признанной и надежной части домена, используя украденные действительные учетные данные в Outlook.
Вторая волна фишинговых сообщений была намного больше, чем первая, и насчитывала более 8500 электронных писем на тему SharePoint с вложением «Payment.pdf».
Эта фишинговая кампания была хитроумной и умеренно успешной, но она не была бы столь эффективной, если бы целевые компании следовали одной из следующих практик:
- Все сотрудники включили MFA в своих учетных записях Office 365.
- Разверните решения для защиты конечных точек, которые могут обнаруживать создание правил для папки «Входящие».
- Регистрация устройств Azure AD тщательно контролируется.
- Для регистрации Azure AD требуется MFA.
- Политики нулевого доверия применяются во всех частях сети организации.
Bleeping Computer
