Liam Tung är en heltidsfrilansande teknikjournalist som skriver för flera australiska publikationer.
Fullständig bio den 27 januari 2022 | Ämne: Säkerhet 
Låt oss prata om hur företag spårar din data över internet Titta nu
Microsoft har larmat om en ny flerfasig nätfiskekampanj som först registrerar en angripares BYOD-enhet på ett företagsnätverk och sedan börjar skicka tusentals övertygande nätfiske-e-postmeddelanden till ytterligare mål.
Syftet med att registrera eller registrera en enhet på ett målföretags nätverk var att undvika upptäckt under senare nätfiskeattacker, enligt Microsoft.
Microsoft säger att “de flesta” organisationer som hade aktiverat multifaktorautentisering (MFA) för Office 365 inte påverkades av nätfiske-e-postmeddelanden som spreds av angriparkontrollerade registrerade enheter, men de som inte hade aktiverat MFA påverkades alla. .
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Attacken utnyttjade tillfällen där MFA inte upprätthölls under processen att registrera en ny enhet med ett företags instans av Microsofts identitetstjänst, Azure Active Directory (Azure AD); eller när du registrerar en BYOD-enhet till en mobilenhetshanteringsplattform (MDM) som Microosfts Intune.
“Medan flera användare inom olika organisationer äventyrades i den första vågen, gick attacken inte förbi detta skede för majoriteten av målen eftersom de hade MFA aktiverat. Attackens spridning var starkt beroende av bristen på MFA-protokoll”, sa Microsoft.
“Att aktivera MFA för Office 365-applikationer eller när du registrerar nya enheter kunde ha stört det andra steget i attackkedjan”, tillade det.
Den första vågen av attacken riktade sig mot organisationer i Australien, Singapore, Indonesien och Thailand, enligt Microsoft. “Hundratals” referenser som stulits i denna fas användes sedan i den andra fasen där en enhet registrerades eller registrerades, vilket möjliggjorde en bredare penetration av målet.
Den första fasen förlitade sig på ett DocuSign-märkt nätfiskemeddelande som begärde att mottagaren skulle granska och signera dokumentet. Den använde nätfiskedomäner registrerade under toppdomänen .xyz (TLD). Varje e-postmeddelandes nätfiske-länk skapades också unikt och innehöll målets namn i webbadressen. Nätfiske-länken ledde offren till en falsk Office 365-inloggningssida.
Angriparna använde stulna autentiseringsuppgifter för att skapa en anslutning till Exchange Online PowerShell och använde detta för att skapa inkorgsregler som raderade meddelanden baserat på nyckelord i ämnet eller brödtexten i e-postmeddelandet, inklusive “skräp”, “spam”, “nätfiske”, ” hackad', 'lösenord' och 'med dig'. Detta var sannolikt för att undvika upptäckt.
I den andra fasen installerade angriparna Microsofts Outlook-e-postklient på sin egen Windows 10-dator, som sedan framgångsrikt kopplades till offrets Azure AD. Allt angriparna behövde göra var att acceptera Outlooks introduktionsupplevelse som uppmanar användaren att registrera en enhet. I det här fallet använde angriparna autentiseringsuppgifter som förvärvades i fas ett.
“En Azure AD MFA-policy skulle ha stoppat attackkedjan i detta skede”, noterar Microsoft.
Azure AD har verktyg för att mildra dessa hot genom att tidsstämpla och logga nya enhetsregistreringar.
Men med komprometterade autentiseringsuppgifter och en registrerad Windows 10-enhet med Outlook kunde angriparna sedan starta den andra fasen, som innebar att skicka “laterala, interna och utgående” nätfiskemeddelanden till över 8 500 andra e-postkonton. Dessa meddelanden använde en SharePoint-inbjudan för att visa en “Payment.pdf”-fil.
“Genom att använda en enhet som nu känns igen som en del av domänen tillsammans med en e-postklient konfigurerad precis som alla vanliga användare, fick angriparen möjligheten att skicka e-postmeddelanden inom organisationen som saknade många av de typiska misstänkta identifierarna. Genom att ta bort tillräckligt många av dessa misstänkta meddelandeelement, utökade angriparen därmed framgången för nätfiskekampanjen avsevärt.”
Konton där offer klickade på länken i den andra vågen utsattes på liknande sätt för automatiserade regler som raderade e-postmeddelanden som innehöll samma sökord som användes i den första vågen.
SE:
strong>Denna mystiska skadliga programvara kan hota miljontals routrar och IoT-enheter
Microsoft erbjuder anvisningar till säkerhetsteam som kan återkalla aktiva sessioner och tokens för komprometterade konton, ta bort oönskade postlåderegler och inaktivera oseriösa enheter som är registrerade med Azure AD.
Särskilt Microsoft säger att organisationer kan minska sin attackyta genom att inaktivera “grundläggande autentisering”, och i Exchange Online och genom att inaktivera Exchange Online Powershell för slutanvändare. Administratörer kan även aktivera Microsofts nya “villkorad åtkomstkontroll”.
Microsoft meddelade i februari att man, på grund av pandemin, försenade sin plan att stänga av grundläggande autentisering i Exchange Online för äldre e-autentiseringsprotokoll, såsom Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH och OAB.
Det draget skulle eliminera fall där enkelfaktorautentisering används. Microsofts ersättning för grundläggande autentisering, kallad Modern Authentication, möjliggör både villkorad åtkomst och MFA.
Microsoft i september sa att de skulle “börja permanent inaktivera Basic Auth hos alla hyresgäster, oavsett användning, med undantag för SMTP Auth”, från 1 oktober 2022.
Säkerhet
Cybersäkerhet: 11 steg att ta när hotnivåerna ökar. Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i modern misshandel i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet Den bästa antivirusprogramvaran och apparna: Håll din dator, telefon och surfplatta säker Microsoft | Säkerhets-TV | Datahantering | CXO | Datacenter