- Регистрация
- 17 Окт 2015
- Сообщения
- 11.617
- Репутация
- 4.228
- Реакции
- 15.377
Охотники за данными атакуют Microsoft Azure и Office 365: сотни директоров под прицелом... Кто следующий?
13 февраля, 2024Эксперты Proofpoint поделились лайфхаками, которые помогут не стать жертвой мошенников.
В конце ноября 2023 года была обнаружена фишинговая кампания, которая привела к компрометации сотен учётных записей пользователей в десятках сред Microsoft - это американская многопрофильная компания, занимающаяся разработкой программного обеспечения и производством компьютерной техники. Она была основана в 1975 году Биллом Гейтсом и Полом Алленом и на сегодняшний день является одной из самых крупных и известных IT-компаний в мире.
Среди продуктов Microsoft наиболее известными являются операционные системы Windows, пакеты офисных приложений Office, браузер Internet Explorer и поисковая система Bing. Кроме того, компания занимается разработкой программного обеспечения для серверов, баз данных, игровых консолей Xbox и многих других устройств.
Microsoft также предоставляет услуги облачных вычислений и хранения данных через свою платформу Azure, а также занимается разработкой искусственного интеллекта и других инновационных технологий. Компания имеет филиалы по всему миру и сотрудничает с многими крупными корпорациями и организациями.
Microsoft Microsoft Azure — это облачная платформа и сервис от компании Microsoft, предоставляющая широкий спектр облачных сервисов, включая вычисления, аналитику, хранение данных и сетевые возможности. Пользователи могут строить, управлять и развертывать приложения на глобальной сети центров обработки данных Microsoft, используя различные инструменты, языки программирования и фреймворки. Azure предлагает решения как для публичного, так и для частного облака, поддерживая широкий спектр отраслевых стандартов и требований безопасности.
Azure, включая аккаунты высшего руководства.
Злоумышленники особенно часто нацеливаются на аккаунты руководителей, поскольку они дают доступ к конфиденциальной корпоративной информации, позволяют одобрять мошеннические финансовые операции и дают возможность использовать критически важные системы для дальнейших атак как на саму организацию, так и на её партнёров.
Команда по безопасности облачных сервисов Proofpoint - это компания, которая занимается защитой от цифровых угроз. Она предлагает ряд решений для защиты корпоративных почтовых систем, включая фильтрацию спама и мошеннических писем, защиту от вредоносного ПО и фишинга, а также контроль доступа к электронной почте и мониторинг компрометации учетных данных. Компания также предоставляет решения для защиты социальных медиа, мобильных устройств и ключевых информационных систем. Она сотрудничает с крупными корпорациями и правительственными организациями по всему миру для обеспечения защиты их цифровой инфраструктуры от различных угроз.
Proofpoint, отслеживающая эту вредоносную активность, выпустила предупреждение , в котором выделила используемые злоумышленниками уловки и предложила эффективные меры защиты.
В рассмотренной вредоносной кампании используются офисные документы, содержащие ссылки, замаскированные под кнопки «Просмотреть документ» и ведущие жертв на фишинговые страницы.
Proofpoint отмечает, что сообщения нацелены на сотрудников, вероятно обладающих высшими привилегиями в их организациях, что повышает ценность успешной компрометации учётной записи.
К числу частых целей относятся директора по продажам, менеджеры по работе с клиентами и финансовые менеджеры. Среди целей также оказались лица, занимающие исполнительные должности, такие как операционный вице-президент, главный финансовый директор и даже генеральный директор, объясняют в Proofpoint.
Исследователи выявили следующую строку user-agent Linux, которую атакующие используют для несанкционированного доступа к приложениям Microsoft 365 — это сервис от Microsoft, который объединяет ряд инструментов и услуг для повышения продуктивности. Включает в себя офисные приложения Microsoft Office, такие как Word, Excel, PowerPoint, а также различные сервисы облачного хранения данных и совместной работы, например, OneDrive и Teams. Microsoft 365 предлагает решения как для индивидуальных пользователей, так и для бизнеса, обеспечивая интеграцию с другими сервисами Microsoft и обширные возможности для управления корпоративными данными и безопасности.
Microsoft 365 : «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36»
Этот user-agent был связан с различными действиями после компрометации, такими как манипулирование MFA, эксфильтрация данных, внутренний и внешний фишинг, финансовое мошенничество и создание правил обфускации в почтовых ящиках.
Proofpoint также наблюдала несанкционированный доступ к следующим компонентам Microsoft 365:
- WCSS-клиент оболочки Office 365: указывает на доступ к приложениям Office 365 через браузер, предполагая веб-взаимодействие с пакетом.
- Office 365 Exchange Online: показывает, что атакующие нацеливаются на эту службу для злоупотреблений, связанных с электронной почтой, включая эксфильтрацию данных и латеральный фишинг.
- Мои учётные записи: используется атакующими для манипуляций с многофакторной аутентификацией (MFA).
- Мои приложения: атаки нацелены на доступ и возможное изменение конфигураций или разрешений приложений в среде Microsoft 365.
- Мой профиль: указывает на попытки изменить настройки безопасности пользователя, возможно, для поддержания несанкционированного доступа или эскалации привилегий.
В качестве мер защиты от продолжающейся кампании, которые могут помочь улучшить организационную безопасность в средах Microsoft Azure и Office 365, Proofpoint предлагает следующие меры:
- мониторинг использования вышеуказанного user-agent и доменов-источников в журналах;
- немедленный сброс скомпрометированных паролей захваченных аккаунтов и периодическая смена паролей для всех пользователей;
- использование инструментов безопасности для быстрого обнаружения событий захвата аккаунтов;
- применение стандартных средств защиты от фишинга, брутфорса и атак методом подбора паролей;
- внедрение политик для автоматического реагирования на угрозы.