Хакеры использовали SharePoint для целенаправленных атак на ряд энергетических компаний. На этот раз злоумышленники похитили учетные данные сотрудников и скомпрометировали почтовые ящики для распространения фишинговых атак.
Исследователи Microsoft Defender обнаружили вредоносную кампанию, в рамках которой хакеры применяли методы Adversary-in-the-Middle (AiTM) для полного обхода многофакторной аутентификации. Атака началась с уже скомпрометированной учетной записи компании, которая затем использовалась для получения доступа к другим электронным письмам и учетным данным внутри целевой организации.
Используя учетную запись “нулевой точки”, хакеры рассылали фишинговые письма, замаскированные под легитимные уведомления о совместном использовании документов SharePoint. Когда жертвы переходили по ссылкам во вредоносном письме, их перенаправляло на поддельный веб-сайт, который запрашивал вход в систему и похищал пароли и сессионные cookie-файлы.
Получив доступ к нескольким легитимным учетным записям, злоумышленники настраивали правила в папке “Входящие” для автоматического удаления входящих писем и пометки всего как прочитанного, чтобы жертвы оставались в неведении.
Финальный этап этой “кампании” заключался в отправке 600 фишинговых писем контактам жертвы, как внутри скомпрометированных организаций, так и за их пределами.
Хакеры также пристально следили за скомпрометированными почтовыми ящиками. Они удаляли уведомления об ошибках доставки и автоответы “нет на месте”, чтобы оставаться незамеченными. Когда получатели начинали подозревать неладное и спрашивали об этих письмах, злоумышленники вмешивались, уверяли, что все в порядке, а затем удаляли переписку.
Microsoft прокомментировала этот случай в официальном заявлении и посоветовала организациям отзывать сессионные cookie-файлы, удалять созданные атакующими правила в папке “Входящие” и проверять наличие несанкционированных изменений MFA, поскольку в данном случае простая смена пароля не помогла бы.
Полный масштаб этой кампании остается неизвестным. Издание The Register запросило у Microsoft более подробную информацию, например, сколько организаций пострадало и есть ли у Редмонда предположения о том, кто стоит за атакой. Microsoft отказалась отвечать на этот вопрос.
Если вы работаете в организации, которая может стать потенциальной целью подобных атак, обязательно дважды проверяйте любые уведомления от SharePoint перед переходом по ссылкам и пересмотрите свои протоколы безопасности.
Изображение предоставлено Depositphotos.com
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ivan Jenic
