Microsoft предупреждава за широкомащабни AiTM фишинг атаки срещу над 10 000 организации

Във вторник Microsoft разкри, че широкомащабна фишинг кампания е насочена към над 10 000 организации от септември 2021 г., като е отвлякла процеса на удостоверяване на Office 365 дори на акаунти, защитени с многофакторно удостоверяване (MFA).

„След това нападателите са използвали откраднатите идентификационни данни и сесийни бисквитки за достъп до пощенските кутии на засегнатите потребители и за извършване на последващи кампании за компрометиране на бизнес имейли (BEC) срещу други цели“, екипите за киберсигурност на компанията докладвани.

Проникванията включват създаване на фишинг сайтове за противник по средата (AitM), при което противникът разполага прокси сървър между потенциална жертва и целевия уебсайт, така че получателите на фишинг имейл да се пренасочват към подобни целеви страници, предназначени да уловят идентификационни данни и информация на МВнР.

„Фишинг страницата има две различни сесии за защита на транспортния слой (TLS) – една с целта и друга с действителния уебсайт, до който целта иска да има достъп“, обясниха от компанията.

„Тези сесии означават, че фишинг страницата практически функционира като AitM агент, прихващайки целия процес на удостоверяване и извличайки ценни данни от HTTP заявките, като пароли и, което е по-важно, сесийни бисквитки.“

Въоръжени с тази информация, нападателите инжектираха бисквитките в собствените си браузъри, за да заобиколят процеса на удостоверяване, дори в сценарии, при които жертвата е активирала MFA защита.

Фишинг кампанията, забелязана от Microsoft, беше организирана, за да отдели потребителите на Office 365 чрез подправяне на страницата за онлайн удостоверяване на Office, като участниците използваха фишинг комплекта Evilginx2 за извършване на AitM атаките.

AiTM фишинг атаки

Това включваше изпращане на имейл съобщения, съдържащи примамки на тема гласови съобщения, които бяха маркирани с висока важност, подвеждайки получателите да отворят HTML прикачени файлове със зловреден софтуер, които пренасочваха към целевите страници за кражба на идентификационни данни.

За да завърши хитростта, потребителите в крайна сметка бяха пренасочени към легитимния офис[.]com уебсайт след удостоверяване, но не и преди нападателите да използват гореспоменатия подход AitM, за да изтеглят сесийните бисквитки и да получат контрол над компрометирания акаунт.

Атаките не свършиха дотук, тъй като участниците в заплахата злоупотребиха с достъпа до пощенската си кутия, за да извършат измами с плащания, като използваха техника, наречена отвличане на имейл нишки, за да подмамят страните от другия край на разговора, за да прехвърлят незаконно средства към сметки под техен контрол.

За да прикрият допълнително комуникациите си с целта на измамата, участниците в заплахата създадоха и правила за пощенска кутия, които автоматично преместват всеки входящ имейл, съдържащ съответното име на домейн, в папката „Архив“ и го маркират като „прочетено“.

Кибер защита

„Отне само пет минути след кражбата на идентификационните данни и сесията, за да може нападателят да започне своята последваща измама с плащане“, отбеляза Microsoft.

Твърди се, че нападателите са използвали Outlook Web Access (OWA) в браузър Chrome, за да извършат измамните дейности, като същевременно са изтрили от папката „Входящи“ на акаунта оригиналния фишинг имейл, както и последващите комуникации с целта от архива и папки Изпратени, за да изтриете следи.

„Тази фишинг кампания на AiTM е друг пример за това как заплахите продължават да се развиват в отговор на мерките за сигурност и политиките, въведени от организациите, за да се защитят срещу потенциални атаки“, казаха изследователите.

„Докато AiTM фишингът се опитва да заобиколи MFA, важно е да се подчертае, че прилагането на MFA остава основен стълб в сигурността на самоличността. MFA все още е много ефективен при спирането на голямо разнообразие от заплахи; неговата ефективност е причината AiTM фишингът да се появи на първо място.“

Констатациите идват, когато група изследователи от университета Stony Brook и Palo Alto Networks демонстрираха в края на миналата година нова техника за пръстови отпечатъци, която прави възможно идентифицирането на AitM фишинг комплекти в дивата природа с помощта на инструмент, наречен ФОКА.

.