Microsoft 365

Активна хакерска кампания, свързана с Русия, краде акаунти в Microsoft 365 чрез device code phishing.

Целите са в правителствения и неправителствения сектор, IT услугите и технологиите, отбраната, телекомуникациите, здравеопазването и енергетиката. Кампанията засяга организации в Европа, Северна Америка, Африка и Близкия изток.

Според Microsoft зад нея стои групата Storm-237.

Устройствата, които нямат поддръжка на клавиатура или браузър, като например смарт телевизори и някои IoT, разчитат удостоверяване чрез код. Групата злоупотребява с това, като подвежда потребителите да въвеждат генерирани от нея кодове на легитимни страници за влизане.

За да се защитите:

• наложете стриктни политики за достъп в Microsoft Entra ID, за да се ограничи използването му до доверени устройства или мрежи;
• използвайте регистрационните дневници на Microsoft Entra ID, за да идентифицирате бързо голям брой опити за удостоверяване за кратък период от време.

Критична уязвимост позовлява заобикаляне на многофакторното удостоверяване (MFA) на Microsoft Azure. По този начин нападателят получава неоторизиран достъп до акаунта на жертвата, включително до имейлите в Outlook, файловете в OneDrive, чатовете в Teams и др. Тя излага на риск от превземане над 400 милиона акаунта в Microsoft 365.

Уязвимостта идва от липсата на ограничение за броя и скоростта на опитите за влизане с MFA. Друг проблем е, че времето, с което разполага нападателят, за да отгатне паролата, е с 2,5 минути по-дълго от препоръчителното.

Всичко това позволява бързото изчерпване на общия брой опции за 6-цифрен код, който е 1 милион, предупреждават от Oasis Security. Още повече, че собствениците на акаунти не получават никакво предупреждение за тези опити за влизане в профила им.

Въпреки че MFA все още се счита за един от най-сигурните начини за защита на онлайн акаунти, никоя система не е 100% защитена.

За да повишите нивата на киберсигурност, ви съветваме да:

• използвате допълнителни приложения за автентикация;
• интегрирате методи, които не са базирани на парола, като Passkey;
• добавите възможност за уведомява потребителите за неуспешни опити за влизане чрез MFA;

Дизайнерите на MFA приложения трябва да:

• залагат ограничения на скоростта, които не позволяват безкрайни опити за влизане;
• въведат функционалност за заключване на акаунта след определен брой неуспешни комбинации.

Нова PhaaS платформа улеснява широкомащабните атаки от типа adversary-in-the-middle (AiTM) за кражба на идентификационни данни за Microsoft 365.

Rockstar 2FA позволява на нападателите да заобикалят MFA на целевите акаунти чрез прихващане на валидни сесийни бисквитки. Te насочват жертвите към фалшива страница за вход, имитираща Microsoft 365, и ги подмамват да въведат своите идентификационни данни.

AiTM сървърът действа като прокси и препраща тези данни към легитимната услуга на Microsoft. По този начин завършва процеса на удостоверяване и улавя „бисквитката“, когато тя се изпраща обратно към браузъра на целта. Тази бисквитка може да бъде използвана за директен достъп до акаунта на жертвата, дори ако той е защитен с MFA.

Rockstar 2FA е придобил значителна популярност сред киберпрестъпниците от август 2024 г. насам. Платформата се продава за 200 долара за две седмици. От май 2024 г. насам тя е създала над 5000 фишинг домейна, които улесняват различни зловредни операции.

Съобщенията използват различни примамки – уведомления за споделяне на документи, известия от ИТ отдела, предупреждения за смяна на парола и др. Те разчитат на редица методи за избягване на блокиране, включително QR кодове, включване на връзки от легитимни услуги и прикачени PDF файлове.

Във времена на лесен достъп до мощни фишинг инструменти всеки трябва да е много внимателен с имейлите, които получава. Особено ако те съдържат файлове или линкове.

Мащабна DDoS атака изкара от строя за повече от девет часа Microsoft 365.

Прекъсването засегна множество услуги и функции, включително Exchange Online, Microsoft Teams и SharePoint Online. OneDrive, Purview, Copilot и Outlook също не бяха достъпни в рамките на срива.

Това не е първият случай на глобално прекъсване на платформите на технологичния гигант през 2024. През юли това се случи с Microsoft 365 и Azure, а засегнати бяха административния център, както и услугите Intune, Entra, Power BI и Power Platform.

 

За пореден път ръководни служители в застрахователни и финансови институции са на прицела на измамниците.

Фишинг кампания събира идентификационни данни за Microsoft 365 с цел да се стартират атаки за компрометиране на бизнес кореспонденция (BEC), информира Area 1 Security.

Киберспециалистите отчитат, че най-често са атакувани финансовите отдели на компаниите. Така нападателите потенциално получат достъп до чувствителна информация. След това могат да променят данни в реално издадени фактури и да насочват плащания към собствени сметки.

Препоръки:

• Включете многофакторно удостоверяване за вход в Office 365 в корпоративната си политика
• Провеждайте регулярни обучения по киберсигурност за служителите
• При съмнение, направете изрична проверка на автентичността на получения имейл

Фишинг атака, насочена към многобройните потребители на Microsoft, цели да открадне  идентификационните ви данни за Office 365.

През последните три месеца най-малко 2,5 хил. фишинг имейла са изпратени до служители на висше ниво в банковия и ИТ сектора.

Как работи измамата

Фишинг имейлите съдържат файл с гласова поща. Кликането върху линка първо ви отвежда до фалшива системна страница на Google reCAPTCHA – услуга, която помага да се защитят уебсайтовете от нежелана поща и злоупотреба. Инструментът използва тест на Тюринг, за да разграничи хората и ботовете (напр. иска от вас да кликнете върху пешеходна пътека от поредица изображения).

В продължение на години хакерите се възползват от фалшиви системи reCAPTCHA в своите фишинг атаки, за по-голяма достоверност.

След като „преминете“ теста reCAPTCHA, ви пренасочват към фишинг целева страница, която иска идентификационните ви данни за Office 365.

Нападателите се целят във данните на висшия управленски персонал, който вероятно има по-висока степен на достъп до чувствителни фирмени данни.

Как да се предпазите от фишинг, прочетете ТУК

ФБР разследва глобална кампания за компрометиране на бизнес кореспонденция (BEC), в която са откраднати милиони долари. Става дума за прихващане на имейл паролата на ръководен служител в дадена организация и следене на ежедневната му кореспонденция. Когато в пощенската кутия на жертвата се получи документ, по който следва да се плати, измамниците подменят ключови детайли – например, IBAN за плащане, така че плащането за попадне в тяхната сметка.

Разследваната кампания, в която се използват най-разнообразни техники на социалното инженерство, е насочена към висши мениджъри, използващи имейл услуги на Microsoft Office 365. Идентифицираните жертви са над 150 организации от сферата на законодателството, строителството, финансите и търговията на дребно по целия свят, но най-вече в САЩ.

Анализаторите изчисляват, че средната стойност на успешна BEC кампания през второто тримесечие на 2020 г. е 80 хил. USD. (спрямо 54 хил. USD през първото тримесечие на годината).