Microsoft предупреждава за широкомащабни AiTM фишинг атаки срещу над 10 000 организации

Във вторник Microsoft разкри, че широкомащабна фишинг кампания е насочена към над 10 000 организации от септември 2021 г. насам чрез отвличане на процеса на удостоверяване на Office 365 дори на акаунти, защитени с многофакторно удостоверяване (MFA).

„След това нападателите са използвали откраднатите идентификационни данни и сесийни бисквитки за достъп до пощенските кутии на засегнатите потребители и за извършване на последващи кампании за компрометиране на бизнес имейли (BEC) срещу други цели“, екипите за киберсигурност на компанията докладвани.

Проникванията включват създаване на фишинг сайтове за противник по средата (AitM), при което противникът разполага прокси сървър между потенциална жертва и целевия уебсайт, така че получателите на фишинг имейл да се пренасочват към подобни целеви страници, предназначени да уловят идентификационни данни и информация на МВнР.

„Фишинг страницата има две различни сесии за защита на транспортния слой (TLS) – една с целта и друга с действителния уебсайт, до който целта иска да има достъп“, обясниха от компанията.

„Тези сесии означават, че фишинг страницата практически функционира като AitM агент, прихващайки целия процес на удостоверяване и извличайки ценни данни от HTTP заявките, като пароли и, което е по-важно, сесийни бисквитки.“

Въоръжени с тази информация, нападателите инжектираха бисквитките в собствените си браузъри, за да заобиколят процеса на удостоверяване, дори в сценарии, при които жертвата е активирала MFA защита.

Фишинг кампанията, забелязана от Microsoft, беше организирана, за да отдели потребителите на Office 365 чрез подправяне на страницата за онлайн удостоверяване на Office, като участниците използваха фишинг комплекта Evilginx2 за извършване на AitM атаките.

AiTM фишинг атаки

Това включваше изпращане на имейл съобщения, съдържащи примамки на тема гласови съобщения, които бяха маркирани с висока важност, подвеждащи получателите да отворят HTML прикачени файлове със зловреден софтуер, които пренасочваха към целевите страници за кражба на идентификационни данни.

За да завърши хитростта, потребителите в крайна сметка бяха пренасочени към легитимния офис[.]com след удостоверяване на уебсайта, но не преди нападателите да използват гореспоменатия подход AitM, за да изтеглят сесийните бисквитки и да получат контрол над компрометирания акаунт.

Атаките не свършиха дотук, тъй като участниците в заплахата злоупотребиха с достъпа до пощенската си кутия, за да извършат измами с плащания, като използваха техника, наречена отвличане на имейл нишки, за да подмамят страните от другия край на разговора, за да прехвърлят незаконно средства към сметки под техен контрол.

За да прикрият допълнително комуникациите си с целта на измамата, участниците в заплахата създадоха и правила за пощенска кутия, които автоматично преместват всеки входящ имейл, съдържащ съответното име на домейн, в папката „Архив“ и го маркират като „прочетено“.

Кибер защита

„Бяха необходими само пет минути след кражба на идентификационни данни и сесия, за да може нападателят да започне своята последваща измама с плащане“, отбеляза Microsoft.

Твърди се, че нападателите са използвали Outlook Web Access (OWA) в браузър Chrome, за да извършат измамните дейности, като същевременно са изтрили от папката „Входящи“ на акаунта оригиналния фишинг имейл, както и последващите комуникации с целта от архива и папки Изпратени, за да изтриете следи.

„Тази фишинг кампания на AiTM е друг пример за това как заплахите продължават да се развиват в отговор на мерките за сигурност и политиките, въведени от организациите, за да се защитят срещу потенциални атаки“, казаха изследователите.

„Докато AiTM фишингът се опитва да заобиколи MFA, важно е да се подчертае, че прилагането на MFA остава основен стълб в сигурността на самоличността. MFA все още е много ефективен при спирането на голямо разнообразие от заплахи; неговата ефективност е причината AiTM фишингът да се появи на първо място.“

Констатациите идват, когато група изследователи от университета Stony Brook и Palo Alto Networks демонстрираха в края на миналата година нова техника за пръстови отпечатъци, която прави възможно идентифицирането на AitM фишинг комплекти в дивата природа с помощта на инструмент, наречен ФОКА.

„Атаки като тази стават все по-чести, тъй като организации и лица позволяват многофакторно удостоверяване (MFA) на акаунти, за да ги защитят по-добре“, каза в изявление Ерих Крон, защитник на осведомеността за сигурността в KnowBe4.

„За да се предпазят от фишинг имейли, които подмамват жертвите да кликнат върху връзка, организациите трябва да обучат служителите как да идентифицират и докладват фишинг и трябва да ги тестват редовно със симулирани фишинг атаки, които им позволяват да практикуват тези умения. Освен това, обучението на потребителите на как да идентифицирате фалшиви страници за вход значително ще намали риска от отказ от идентификационни данни и сесийни бисквитки.”

.