MFA tarafından korunanlara bile, şirket yöneticilerinin Microsoft 365 hesaplarını hacklemek için, gelişmiş mızrak akışını ortadaki düşman (AITM) taktikleriyle birleştiren yeni bir işletme e-posta uzlaşması (BEC) kampanyası keşfedildi.
Tehdit aktörleri, büyük bir işlemi banka hesaplarına yönlendirmek için iletişimi izleyebilir ve e-postalara yanıt verebilir.
Bu, tehdit aktörlerinin son anda tehlikeye atılan hesaptan bir e -posta gönderdiği ve işlemin yetkilendirme üyesinden banka hesabı hedefini değiştirmesini istedikleri iş e -posta uzlaşma saldırılarının tipik bir örneğidir.
Mitiga'daki araştırmacılar, bir olay müdahale davası sırasında yeni kampanyayı keşfettiler ve şimdi yaygın olduğunu bildirerek her biri birkaç milyon USD'ye kadar işlemleri hedeflediler.
Bu saldırılarda gönderilen kimlik avı e -postaları, hedefe, bir finansal denetim nedeniyle genellikle ödeme gönderdikleri kurumsal banka hesabının, iddia edilen bir iştirakin hesabına geçen yeni ödeme talimatlarını kapsadığını söyler. Ancak, bu yeni banka hesabı ödemeyi çalan tehdit aktörlerine aittir.
Alıcıları kandırmak için, saldırgan e -posta iş parçacıklarını kaçırır ve kurbanın bildiği hukuki temsilcilere hızlı bir şekilde otantik olarak geçen yazım hatası kullanır ve onları borsaya dahil eder.
Şirket yöneticilerine yapılan saldırı, kurumsal ortamlarda yaygın olarak kullanılan bir elektronik anlaşmalar yönetim platformu olan DocUSIGN'den kaynaklanıyor gibi görünen bir kimlik avı e -postasıyla başlar.
E -posta DMARC kontrollerini geçmese de, Mitiga, DocUSign'den gelen yanlış pozitif spam uyarılarını azaltmak için uygulanan ortak güvenlik yanlış yapılandırmalarının hedefin gelen kutusuna inmesine yardımcı olduğunu buldu.
"İnceleme Belgesi" düğmesi tıklandığında, kurban, alıcıdan Windows alanına giriş yapması istendiği sahte bir alanda kimlik avı sayfasına götürülür.
Tehdit aktörlerinin, ortada bir düşman (AITM) saldırısı olarak adlandırılan şeyi yapmak için Evilginx2 Proxy gibi bir kimlik avı çerçevesi kullandığına inanılıyor.
AITM saldırıları sırasında, evilginx2 gibi araçlar, bir kimlik avı sayfası ile hedeflenen bir şirket için meşru bir giriş formu arasında ortada oturan vekiller olarak hareket eder.
Proxy ortada otururken, bir kurban kimlik bilgilerine girdiğinde ve MFA sorusunu çözdüğünde, proxy Windows etki alanı tarafından oluşturulan oturum çerezini çalar.
Tehdit aktörleri artık kurbanın hesabına giriş yapmak ve önceki girişte doğrulanan MFA'yı atlamak için çalınan oturum çerezlerini kendi tarayıcılarına yükleyebilir.
Geçerli oturumların süresi dolabileceğinden veya iptal edilebileceğinden, tehdit aktörleri yeni bir MFA cihazı ekler ve onu herhangi bir uyarı oluşturmayan veya orijinal hesap sahibiyle daha fazla etkileşim gerektiren bir hareket olan ihlal edilen Microsoft 365 hesabına bağlar.
Mitiga tarafından görülen durumda, tehdit oyuncusu yeni kimlik doğrulama cihazı olarak bir cep telefonu ekleyerek uzatılmış hesaba kesintisiz erişimini sağladı.
Araştırmacılara göre, tehdit aktörleri bu gizli ihlali neredeyse sadece alışveriş ve SharePoint'e erişmek için kullandı. Günlüklere göre, kurbanın gelen kutusu üzerinde hiçbir işlem yapmadılar, muhtemelen sadece e -postaları okuyorlardı.
Bununla birlikte, tehdit oyuncusu muhtemelen saldırganların kontrolü altındaki banka hesaplarına fatura ödemelerini yönlendirmek için kendi e -postalarını enjekte etmek için doğru anı bekliyordu.
Windows yöneticileri, Azure Active Directory denetim günlükleri aracılığıyla kullanıcı hesaplarındaki MFA değişikliklerini izleyebilir.
Rus APT29 Hackers, Microsoft 365 kullanıcılarını hacklemek için Azure Hizmetlerini Kötüye Kullanıyor
Yeni MFA-Bypassing kimlik avı kiti ile hedeflenen Microsoft hesapları
Microsoft Outlook, Uber makbuzu e -postalarını okurken çöküyor
Microsoft: Kimlik avı, 10.000 orgs'a karşı saldırılarda MFA'yı atladı
SaaS platformlarını kötüye kullanan kimlik avı saldırıları büyük bir% 1,100 büyüme görüyor
Kaynak: Bleeping Computer