Атака была нацелена на высокопоставленных должностных лиц и осуществлялась посредством фишинговой кампании, с других взломанных учетных записей внутри организации.
Исследователи безопасности предупреждают, что продолжающаяся кампания по захвату облачных учетных записей затронула десятки сред Microsoft Azure, принадлежащих организациям со всего мира. С конца ноября 2023 года злоумышленники взломали сотни учетных записей, включая аккаунты менеджеров и топ-менеджеров.
«Различный выбор целевых ролей указывает на практическую стратегию злоумышленников, направленную на компрометацию учетных записей с различными уровнями доступа к ценным ресурсам и обязанностями в рамках организационных функций», — заявили исследователи из компании Proofpoint в своем отчете.
В число наблюдаемых должностей, на которые были нацелены, входили директор по продажам, менеджер по работе с клиентами, финансовый менеджер, вице-президент по операциям, финансовый директор, президент и генеральный директор. После взлома учетной записи злоумышленники добавляют свой собственный номер телефона или приложение для проверки подлинности в качестве метода многофакторной аутентификации (MFA).
В кампаниях используются индивидуальные фишинговые приманки
По данным Proofpoint, выбранные пользователи подвергаются атаке с помощью функции общего доступа к документам с использованием фишинговых приманок, которые созданы специально для них и обычно исходят от других скомпрометированных учетных записей в той же организации. Документы содержат вредоносные ссылки, скрытые за такими инструкциями, как «просмотреть документ», которые перенаправляют пользователей на фишинговую страницу, требующую аутентификации. Хотя этот метод не является чем-то особенным, прицеливание и боковое движение, используемые злоумышленниками, увеличили вероятность успеха атаки, показывая, что относительно простые методы фишинга по-прежнему эффективны против многих сотрудников, если приманка достаточно хороша.
После компрометации учетной записи злоумышленники предпринимают несколько шагов, чтобы гарантировать, что они сохранят доступ к ней и не будут легко обнаружены. Помимо добавления собственного метода MFA, чтобы иметь возможность проходить испытания MFA в будущем, злоумышленники создают правила для почтовых ящиков, призванные скрыть свои следы и стереть доказательства своей вредоносной деятельности.
Конечной целью атаки, похоже, является финансовое мошенничество или компрометация деловой электронной почты, когда злоумышленники отправляют электронные письма со скомпрометированных учетных записей сотрудникам отдела кадров и финансового отдела. Злоумышленники также будут загружать конфиденциальные файлы, содержащие информацию о финансовых активах, протоколах внутренней безопасности и учетных данных пользователя, чтобы лучше подготовить свои сообщения о мошенничестве. Боковое движение также является ключевым компонентом атаки: фишинговые электронные письма рассылаются другим ключевым сотрудникам организации со скомпрометированных учетных записей.
Индикаторы атаки захвата учетной записи Microsoft Azure
«Наш анализ атаки выявил несколько прокси-серверов, служб хостинга и захваченных доменов, составляющих операционную инфраструктуру злоумышленников», — заявили исследователи Proofpoint. «Было замечено, что злоумышленники использовали прокси-сервисы, чтобы сопоставить очевидное географическое происхождение несанкционированных действий с происхождением целевых жертв, уклоняясь от политики геозонирования. Кроме того, использование часто сменяющихся прокси-сервисов позволяет злоумышленникам скрывать свое истинное местоположение и создает дополнительную проблему для безопасников, стремящихся заблокировать вредоносную активность». Тем не менее, было также замечено, что злоумышленники время от времени использовали некоторые фиксированные IP-адреса интернет-провайдеров в России и Нигерии, возможно, в результате ошибок, которые раскрыли их истинное местоположение.
Исследователи также заметили две уникальные строки пользовательского агента, используемые злоумышленниками при доступе к скомпрометированным учетным записям. Их можно использовать вместе с доменами инфраструктуры и информацией об IP в качестве индикаторов компрометации для создания правил обнаружения.
Наиболее часто используемые приложения Microsoft в журналах — это OfficeHome, Office365 Shell WCSS-Client (приложение Office 365 в веб-браузере), Office 365 Exchange Online, «Мои входы», «Мои приложения» и «Мой профиль».
Рекомендации по смягчению последствий попыток захвата учетной записи Microsoft Azure
Proofpoint советует организациям отслеживать конкретную строку пользовательского агента и исходные домены в своих журналах, немедленно принудительно менять учетные данные целевых или скомпрометированных пользователей, а также принудительно периодически менять пароли для всех пользователей. Организациям также следует попытаться выявить любые действия после компрометации, а также первоначальные векторы проникновения: фишинг, вредоносное ПО, выдача себя за другое лицо, перебор паролей, распыление паролей и т. д. Создание и применение политик автоматического исправления может свести к минимуму доступ злоумышленников к учетным записям и потенциальный ущерб.