Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld bio den 27. januar 2022 | Emne: Sikkerhed 
Lad os tale om, hvordan virksomheder sporer dine data på tværs af internettet. Se nu
Microsoft har slået alarm om en ny flerfaset phishing-kampagne, der først tilmelder en angribers BYOD-enhed på et virksomhedsnetværk og derefter begynder at sende tusindvis af overbevisende phishing-e-mails til yderligere mål.
Formålet med at tilmelde eller registrere en enhed på en målvirksomheds netværk var at undgå opdagelse under senere phishing-angreb, ifølge Microsoft.
Microsoft siger, at “de fleste” organisationer, der havde aktiveret multi-factor authentication (MFA) for Office 365, ikke blev påvirket af phishing-e-mails spredt af angriberkontrollerede registrerede enheder, men dem, der ikke havde aktiveret MFA, blev alle påvirket .
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Angrebet udnyttede tilfælde, hvor MFA ikke blev håndhævet under processen med at registrere en ny enhed med en virksomheds forekomst af Microsofts identitetstjeneste, Azure Active Directory (Azure AD); eller når du tilmelder en BYOD-enhed til en mobil enhedsadministration (MDM) platform som Microosft's Intune.
“Mens flere brugere inden for forskellige organisationer blev kompromitteret i den første bølge, gik angrebet ikke forbi dette stadium for størstedelen af målene, da de havde MFA aktiveret. Angrebets udbredelse var stærkt afhængig af mangel på MFA-protokoller,” sagde Microsoft.
“Aktivering af MFA for Office 365-applikationer eller under registrering af nye enheder kunne have forstyrret anden fase af angrebskæden,” tilføjede den.
Den første bølge af angrebet var rettet mod organisationer i Australien, Singapore, Indonesien og Thailand, ifølge Microsoft. “Hundrevis” af legitimationsoplysninger stjålet i denne fase blev derefter brugt i den anden fase, hvor en enhed blev registreret eller tilmeldt, hvilket muliggjorde en bredere penetration af målet.
Den første fase var baseret på en DocuSign-mærket phishing-e-mail, der anmodede modtageren om at gennemgå og underskrive dokumentet. Det brugte phishing-domæner registreret under .xyz-topniveaudomænet (TLD). Hver e-mails phishing-link var også unikt genereret og indeholdt målets navn i URL'en. Phishing-linket ledte ofrene til en forfalsket Office 365-loginside.
Angriberne brugte stjålne legitimationsoplysninger til at oprette en forbindelse med Exchange Online PowerShell og brugte dette til at oprette indbakkeregler, der slettede meddelelser baseret på nøgleord i emnet eller brødteksten i e-mailen, herunder 'junk', 'spam', 'phishing', ' hacket', 'adgangskode' og 'med dig'. Dette var sandsynligvis for at undgå opdagelse.
I anden fase installerede angriberne Microsofts Outlook-e-mail-klient på deres egen Windows 10-pc, som derefter blev forbundet med ofrets Azure AD. Alt angriberne skulle gøre var at acceptere Outlooks onboarding-oplevelse, der beder brugeren om at registrere en enhed. I dette tilfælde brugte angriberne legitimationsoplysninger erhvervet i fase et.
“En Azure AD MFA-politik ville have stoppet angrebskæden på dette stadium,” bemærker Microsoft.
Azure AD har værktøjer til at afbøde disse trusler ved at tidsstemple og logge nye enhedsregistreringer.
Men med kompromitterede legitimationsoplysninger og en registreret Windows 10-enhed med Outlook, kunne angriberne derefter starte anden fase, som involverede at sende “laterale, interne og udgående” phishing-beskeder til over 8.500 andre e-mail-konti. Disse meddelelser brugte en SharePoint-invitation til at se en “Payment.pdf”-fil.
“Ved at bruge en enhed, der nu genkendes som en del af domænet sammen med en mailklient, der er konfigureret nøjagtigt som enhver almindelig bruger, fik angriberen muligheden for at sende e-mails inden for organisationen, som manglede mange af de typiske mistænkte identifikatorer. Ved at fjerne nok af disse mistænkelige beskedelementer, udvidede angriberen dermed phishing-kampagnens succes betydeligt.”
Konti, hvor ofre klikkede på linket i den anden bølge, blev på samme måde underlagt automatiserede regler, der slettede e-mails, der indeholdt de samme søgeord, som blev brugt i den første bølge.
SE:
strong>Denne mystiske malware kan true millioner af routere og IoT-enheder
Microsoft tilbyder vejledninger til sikkerhedsteams, der kan tilbagekalde aktive sessioner og tokens af kompromitterede konti, slette uønskede postkasseregler og deaktivere useriøse enheder, der er registreret med Azure AD.
Det er bemærkelsesværdigt, at Microsoft siger, at organisationer kan reducere deres angrebsflade ved at deaktivere “grundlæggende godkendelse”, og i Exchange Online og ved at deaktivere Exchange Online Powershell for slutbrugere. Administratorer kan også aktivere Microsofts nye “betingede adgangskontrol”.
Microsoft meddelte i februar, at det på grund af pandemien forsinkede sin plan om at deaktivere grundlæggende godkendelse i Exchange Online for ældre e-mail-godkendelsesprotokoller, såsom Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH og OAB.
Denne flytning ville eliminere tilfælde, hvor enkeltfaktorgodkendelse bruges. Microsofts erstatning for grundlæggende godkendelse, kaldet Modern Authentication, muliggør både betinget adgang og MFA.
Microsoft i september sagde, at det ville “begynde permanent at deaktivere Basic Auth i alle lejere, uanset brug, med undtagelse af SMTP Auth”, fra 1. oktober 2022.
Sikkerhed
Cybersikkerhed: 11 trin at tage, når trusselsniveauet stiger. Hun stolede ikke på sine flyttemænd. Et enkelt Apple AirTag beviste, at hun havde ret Hvordan teknologi er et våben i moderne misbrug i hjemmet Log4J: Microsoft opdager angribere rettet mod SolarWinds sårbarhed Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Microsoft | Sikkerheds-tv | Datastyring | CXO | Datacentre