Охотники за данными атакуют Microsoft Azure и Office 365: сотни директоров под прицелом... Кто следующий?

В конце ноября 2023 года была обнаружена фишинговая кампания, которая привела к компрометации сотен учётных записей пользователей в десятках сред Microsoft Azure, включая аккаунты высшего руководства.

Злоумышленники особенно часто нацеливаются на аккаунты руководителей, поскольку они дают доступ к конфиденциальной корпоративной информации, позволяют одобрять мошеннические финансовые операции и дают возможность использовать критически важные системы для дальнейших атак как на саму организацию, так и на её партнёров.

Команда по безопасности облачных сервисов Proofpoint, отслеживающая эту вредоносную активность, выпустила предупреждение , в котором выделила используемые злоумышленниками уловки и предложила эффективные меры защиты.

В рассмотренной вредоносной кампании используются офисные документы, содержащие ссылки, замаскированные под кнопки «Просмотреть документ» и ведущие жертв на фишинговые страницы.

Proofpoint отмечает, что сообщения нацелены на сотрудников, вероятно обладающих высшими привилегиями в их организациях, что повышает ценность успешной компрометации учётной записи.

К числу частых целей относятся директора по продажам, менеджеры по работе с клиентами и финансовые менеджеры. Среди целей также оказались лица, занимающие исполнительные должности, такие как операционный вице-президент, главный финансовый директор и даже генеральный директор, объясняют в Proofpoint.

Исследователи выявили следующую строку user-agent Linux, которую атакующие используют для несанкционированного доступа к приложениям Microsoft 365 : «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36»

Этот user-agent был связан с различными действиями после компрометации, такими как манипулирование MFA, эксфильтрация данных, внутренний и внешний фишинг, финансовое мошенничество и создание правил обфускации в почтовых ящиках.

Proofpoint также наблюдала несанкционированный доступ к следующим компонентам Microsoft 365:

• WCSS-клиент оболочки Office 365: указывает на доступ к приложениям Office 365 через браузер, предполагая веб-взаимодействие с пакетом.
• Office 365 Exchange Online: показывает, что атакующие нацеливаются на эту службу для злоупотреблений, связанных с электронной почтой, включая эксфильтрацию данных и латеральный фишинг.
• Мои учётные записи: используется атакующими для манипуляций с многофакторной аутентификацией (MFA).
• Мои приложения: атаки нацелены на доступ и возможное изменение конфигураций или разрешений приложений в среде Microsoft 365.
• Мой профиль: указывает на попытки изменить настройки безопасности пользователя, возможно, для поддержания несанкционированного доступа или эскалации привилегий.

Proofpoint также сообщает, что операционная инфраструктура злоумышленников включает прокси, службы хостинга данных и захваченные домены. Прокси выбираются таким образом, чтобы быть ближе к целям и снизить вероятность блокировки атак.

В качестве мер защиты от продолжающейся кампании, которые могут помочь улучшить организационную безопасность в средах Microsoft Azure и Office 365, Proofpoint предлагает следующие меры:

• мониторинг использования вышеуказанного user-agent и доменов-источников в журналах;
• немедленный сброс скомпрометированных паролей захваченных аккаунтов и периодическая смена паролей для всех пользователей;
• использование инструментов безопасности для быстрого обнаружения событий захвата аккаунтов;
• применение стандартных средств защиты от фишинга, брутфорса и атак методом подбора паролей;
• внедрение политик для автоматического реагирования на угрозы.

Эти меры могут помочь обнаружить инциденты на ранней стадии, быстро реагировать на них и максимально сократить время пребывания атакующих в системе.