Hacker versuchen eine neue Methode , um ihre Phishing-Kampagnen zu erweitern, indem sie gestohlene Office 365-Anmeldeinformationen verwenden, um Windows-Geräte in Azure Active Directory zu registrieren.
Wenn es den Angreifern gelingt, sich Zugang zur Organisation zu verschaffen, starten sie eine zweite Welle der Kampagne, die darin besteht, zusätzliche Phishing-E-Mails sowohl an Ziele außerhalb als auch innerhalb der Organisation zu senden.
Zielgebiete
Das Microsoft 365 Threat Intelligence Team überwacht eine Malware-Kampagne, die auf Organisationen in Australien und Südostasien abzielt.
Um Informationen über ihre Ziele zu erhalten, verschickten die Angreifer Phishing-E-Mails, die aussahen, als stammten sie von DocuSign. Wenn Benutzer auf die Schaltfläche „ Dokument anzeigen“ klickten, wurden sie zu einer gefälschten Office 365-Anmeldeseite weitergeleitet, die mit ihren Benutzernamen vorbelegt war.
„Die gestohlenen Zugangsdaten des Opfers wurden sofort verwendet, um eine Verbindung zu Exchange Online PowerShell herzustellen, höchstwahrscheinlich unter Verwendung eines automatisierten Skripts als Teil eines Phishing-Kits. Über eine PowerShell-Remoteverbindung fügte der Angreifer mit dem Cmdlet New-InboxRule eine Posteingangsregel ein, die bestimmte Nachrichten basierend auf Schlüsselwörtern im Betreff oder Text der E-Mail-Nachricht entfernte“, betonte das Geheimdienstteam.
Der Filter entfernt automatisch Nachrichten, die bestimmte Wörter enthalten, die mit Spam, Phishing, Spam, Hacking und Passwortschutz in Verbindung gebracht werden, sodass der legitime Kontobenutzer keine Unzustellbarkeitsberichte und IT-E-Mail-Benachrichtigungen erhält, die er sonst sehen könnte.
Die Angreifer installierten dann Microsoft Outlook auf ihrem Computer und verbanden es mit dem Azure Active Directory der Opferorganisation, wobei sie möglicherweise die Aufforderung zur Registrierung von Outlook beim ersten Start akzeptierten.
Schließlich, als der Computer Teil einer Domäne wurde und der E-Mail-Client wie jede andere übliche Verwendung in Organisationen eingerichtet wurde, wurden Phishing-E-Mails von einem kompromittierten Konto und gefälschte Sharepoint-Einladungen, die auf eine gefälschte Office 365-Anmeldeseite verweisen, überzeugender.
„Opfer, die ihre Zugangsdaten im zweiten Schritt der Phishing-Site eingegeben haben, wurden auf ähnliche Weise mit Exchange Online PowerShell verbunden und fast sofort wurde eine Regel erstellt, um E-Mails in ihren jeweiligen Postfächern zu löschen. Die Regel hatte die gleichen Eigenschaften wie die Regel, die in der ersten Phase des Kampagnenangriffs erstellt wurde“, sagte das Team.
Wie man sich fortbewegt
Angreifer verließen sich auf gestohlene Zugangsdaten; Bei mehreren Benutzern war jedoch die Multi-Faktor-Authentifizierung (MFA) aktiviert, wodurch der Diebstahl verhindert wurde.
Das Team riet Organisationen, die mehrstufige Authentifizierung für alle Benutzer zu aktivieren und sie zu verlangen, wenn Geräte Azure AD beigetreten sind, und in Betracht zu ziehen, Exchange Online PowerShell für Endbenutzer zu deaktivieren.
Microsoft teilte auch Bedrohungswarnungen mit, um Organisationen dabei zu helfen, zu überprüfen, ob ihre Benutzer während dieser Kampagne kompromittiert wurden, und sagte, dass Verteidiger auch aktive Sitzungen und Token im Zusammenhang mit kompromittierten Konten widerrufen, von Angreifern erstellte Postfachregeln entfernen und bösartige Geräte, denen sie beigetreten sind, deaktivieren und entfernen sollten . zu Azure AD.
„Die kontinuierliche Verbesserung der Sichtbarkeit und des Schutzes verwalteter Geräte zwingt Angreifer, nach alternativen Wegen zu suchen. Während in diesem Fall die Geräteregistrierung für weitere Phishing-Angriffe verwendet wurde, nimmt die Nutzung der Geräteregistrierung zu, da andere Anwendungsfälle beobachtet wurden. Darüber hinaus wird die sofortige Verfügbarkeit von Penetrationstest-Tools, die diese Technik erleichtern sollen, ihre Nutzung durch andere in Zukunft nur noch verstärken“, sagte das Team.
Schlupflöcher, auf die es sich zu achten lohnt
Analysten von Microsoft Threat Intelligence bemerkten kürzlich eine Phishing-Kampagne, die auf Hunderte von Unternehmen abzielte, diesmal ein Versuch, Mitarbeiter dazu zu bringen, einer App namens „Update“ Zugriff auf ihre Office 365-Konten zu gewähren.
„Phishing-E-Mails verleiten Benutzer dazu, Apps Berechtigungen zu erteilen, die es Angreifern ermöglichen könnten, Posteingangsregeln zu erstellen, E-Mail- und Kalendereinträge zu lesen und zu schreiben und Kontakte zu lesen. Microsoft hat die Anwendung in Azure AD deaktiviert und betroffene Kunden benachrichtigt“, hieß es.
Angreifer können die mehrstufige Authentifizierung von Office 365 auch umgehen, indem sie betrügerische Apps verwenden, Autorisierungscodes stehlen oder auf andere Weise Zugriffstoken anstelle ihrer Anmeldeinformationen erhalten.
Waren Sie schon einmal Opfer dieser Hackerangriffe? Teilen Sie Ihre Erfahrungen mit uns im Kommentarbereich unten.
Schreibe einen Kommentar