Охотники за данными атакуют Microsoft Azure и Office 365: сотни директоров под прицелом… Кто следующий?

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Эксперты Proofpoint поделились лайфхаками, которые помогут не стать жертвой мошенников.

В конце ноября 2023 года была обнаружена фишинговая кампания, которая привела к компрометации сотен учётных записей пользователей в десятках сред Microsoft Azure, включая аккаунты высшего руководства.

Злоумышленники особенно часто нацеливаются на аккаунты руководителей, поскольку они дают доступ к конфиденциальной корпоративной информации, позволяют одобрять мошеннические финансовые операции и дают возможность использовать критически важные системы для дальнейших атак как на саму организацию, так и на её партнёров.

Команда по безопасности облачных сервисов Proofpoint, отслеживающая эту вредоносную активность, выпустила предупреждение , в котором выделила используемые злоумышленниками уловки и предложила эффективные меры защиты.

В рассмотренной вредоносной кампании используются офисные документы, содержащие ссылки, замаскированные под кнопки «Просмотреть документ» и ведущие жертв на фишинговые страницы.

Proofpoint отмечает, что сообщения нацелены на сотрудников, вероятно обладающих высшими привилегиями в их организациях, что повышает ценность успешной компрометации учётной записи.

Забудь про блокировки! VPN через Телеграмм-бот для России!

К числу частых целей относятся директора по продажам, менеджеры по работе с клиентами и финансовые менеджеры. Среди целей также оказались лица, занимающие исполнительные должности, такие как операционный вице-президент, главный финансовый директор и даже генеральный директор, объясняют в Proofpoint.

Исследователи выявили следующую строку user-agent Linux, которую атакующие используют для несанкционированного доступа к приложениям Microsoft 365 : «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36»

Этот user-agent был связан с различными действиями после компрометации, такими как манипулирование MFA, эксфильтрация данных, внутренний и внешний фишинг, финансовое мошенничество и создание правил обфускации в почтовых ящиках.

  Санкции в сфере RISC-V: США хотят добровольно уступить Китаю мировую гегемонию

Proofpoint также наблюдала несанкционированный доступ к следующим компонентам Microsoft 365:

  • WCSS-клиент оболочки Office 365: указывает на доступ к приложениям Office 365 через браузер, предполагая веб-взаимодействие с пакетом.
  • Office 365 Exchange Online: показывает, что атакующие нацеливаются на эту службу для злоупотреблений, связанных с электронной почтой, включая эксфильтрацию данных и латеральный фишинг.
  • Мои учётные записи: используется атакующими для манипуляций с многофакторной аутентификацией (MFA).
  • Мои приложения: атаки нацелены на доступ и возможное изменение конфигураций или разрешений приложений в среде Microsoft 365.
  • Мой профиль: указывает на попытки изменить настройки безопасности пользователя, возможно, для поддержания несанкционированного доступа или эскалации привилегий.

Proofpoint также сообщает, что операционная инфраструктура злоумышленников включает прокси, службы хостинга данных и захваченные домены. Прокси выбираются таким образом, чтобы быть ближе к целям и снизить вероятность блокировки атак.

В качестве мер защиты от продолжающейся кампании, которые могут помочь улучшить организационную безопасность в средах Microsoft Azure и Office 365, Proofpoint предлагает следующие меры:

  • мониторинг использования вышеуказанного user-agent и доменов-источников в журналах;
  • немедленный сброс скомпрометированных паролей захваченных аккаунтов и периодическая смена паролей для всех пользователей;
  • использование инструментов безопасности для быстрого обнаружения событий захвата аккаунтов;
  • применение стандартных средств защиты от фишинга, брутфорса и атак методом подбора паролей;
  • внедрение политик для автоматического реагирования на угрозы.

Эти меры могут помочь обнаружить инциденты на ранней стадии, быстро реагировать на них и максимально сократить время пребывания атакующих в системе.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

  CISA: «Отключить всё!». Срочная эвакуация из-за кибератаки на госсектор

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.