Киберпреступники взломали учетные записи Microsoft в энергетических компаниях и разослали 600 фишинговых писем.

sharepoint,фишинг,энергетика,mfa,взлом,учётныеданные

Злоумышленники эксплуатируют уязвимости в SharePoint для атак на энергетический сектор, кражи учётных данных и захвата почтовых ящиков. Они используют фишинг с поддельными запросами на вход для получения доступов, а затем настраивают правила для сокрытия следов и рассылки спама контактам жертвы.

Неизвестные злоумышленники используют сервисы обмена файлами Microsoft SharePoint для атак на ряд организаций в энергетическом секторе с целью кражи учётных данных пользователей, захвата корпоративных почтовых ящиков, а затем рассылки сотен фишинговых писем с скомпрометированных аккаунтов контактам как внутри, так и за пределами этих организаций.

По данным Редмонда, детализировавшего эти цифровые вторжения в отчёте, опубликованном в среду, атакующие, вероятно, использовали ранее скомпрометированные адреса электронной почты для получения первоначального доступа к «множеству» целевых в этой кампании организаций энергетического сектора.

Эти электронные письма содержали URL SharePoint, требующий аутентификации пользователя, и темы вроде «Новое предложение – NDA», чтобы придать им легитимный вид. Пользователи, перешедшие по ссылке, перенаправлялись на веб-сайт, который требовал ввода учётных данных, тем самым предоставляя преступникам действительные имена пользователей и пароли для использования на последующих этапах этих атак.

Затем злоумышленники входили в скомпрометированные учётные записи с другого IP-адреса и создавали правило для почтового ящика, чтобы удалять всю входящую почту и помечать все письма как прочитанные. А уже из этих захваченных ящиков злодеи рассылали новые фишинговые письма — в одном из случаев было отправлено более 600 писем с очередным фишинговым URL.

«Письма рассылались контактам скомпрометированного пользователя, как внутри организации, так и за её пределами, а также спискам рассылки», — сообщили исследователи Microsoft. «Получатели определялись на основе недавних цепочек писем в почтовом ящике скомпрометированного пользователя».

В этом конкретном случае, после рассылки новых фишинговых писем, злоумышленник следил за почтовым ящиком жертвы, удаляя любые сообщения об отсутствии на месте или недоставленных письма. Они также читали ответы на письма и отвечали на любые вопросы о легитимности фишинга. Эти письма и ответы также впоследствии удалялись злоумышленником.

Любой сотрудник энергетической организации, перешедший по вредоносному URL, также становился целью для кражи учётных данных и захвата аккаунта.

The Register обратился к Microsoft с вопросами о том, сколько организаций было скомпрометировано, есть ли у их охотников за угрозами представление о том, кто стоит за этими атаками, и продолжаются ли они. От Редмонда мы не получили ответов, но обновим эту статью, если ситуация изменится.

Хотя обычной рекомендацией при любом типе компрометации учётной записи является смена пароля, в подобных мошенничествах типа «атака посредника» (attacker-in-the-middle) — когда преступник перехватывает и передаёт сообщения между двумя сторонами, что позволяет ему красть конфиденциальные данные и подслушивать коммуникации жертв — одной лишь смены пароля недостаточно для решения проблемы.

«Даже если пароль скомпрометированного пользователя сброшен, а сеансы отозваны, злоумышленник может настроить методы сохранения контроля путём вмешательства в работу MFA», — предупреждает Редмонд. «Например, злоумышленник может добавить новую политику MFA для входа с использованием одноразового пароля (OTP), отправленного на зарегистрированный злоумышленником мобильный номер. При наличии таких механизмов сохранения контроля злоумышленник может владеть аккаунтом жертвы, несмотря на стандартные меры по устранению последствий».

Тем не менее, многофакторная аутентификация (MFA) «остаётся важнейшей опорой» в предотвращении целого ряда киберугроз, поэтому непременно включите её.

Microsoft также предлагает включить политики условного доступа, которые оценивают запросы на вход с использованием дополнительных сигналов, основанных на идентификации, таких как членство в группах или у пользователя, информация о местоположении по IP-адресу и статус устройства. Если эти сигналы вызывают оповещение о безопасности, подозрительный вход блокируется.

Инвестиции в антифишинговые продукты, сканирующие входящие сообщения и посещаемые веб-сайты, также могут быть полезны. ®

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: