این مقاله ابتدا در Dark Reading منتشر شد
دهها محیط و صدها حساب کاربری فردی قبلاً در یک کمپین در حال انجام با هدف قرار دادن ابرهای شرکتی Microsoft Azure در معرض خطر قرار گرفتهاند.
این فعالیت از برخی جهات پراکنده است – شامل استخراج داده ها، کلاهبرداری مالی، جعل هویت، و موارد دیگر، علیه سازمان ها در طیف گسترده ای از مناطق جغرافیایی و بخش های صنعتی – اما همچنین با فیشینگ سفارشی که به افراد بسیار استراتژیک در امتداد این منطقه انجام می شود، بسیار دقیق است. نردبان شرکتی
یکی از نمایندگان Proofpoint میگوید: «در حالی که مهاجمان ممکن است در رویکرد خود فرصتطلب به نظر برسند، دامنه وسیع فعالیتهای پس از مصالحه نشاندهنده سطح فزایندهای از پیچیدگی است. تاریک خواندن. ما تصدیق میکنیم که عوامل تهدید با انتخاب ابزارها، تاکتیکها و رویههای مناسب (TTP) از یک جعبه ابزار متنوع متناسب با شرایط منحصر به فرد، سازگاری را نشان میدهند. این سازگاری نشاندهنده روند رو به رشد در چشمانداز تهدید ابری است.»
سازش ابر شرکتی
فعالیت در حال انجام دست کم به چند ماه به نوامبر باز می گردد، زمانی که محققان برای اولین بار ایمیل های مشکوکی حاوی اسناد مشترک را مشاهده کردند.
اسناد معمولاً از فریب های فیشینگ فردی و اغلب پیوندهای جاسازی شده استفاده می کنند که به صفحات فیشینگ مخرب هدایت می شوند. هدف در هر مورد، به دست آوردن اعتبار ورود مایکروسافت 365 است.
آنچه برجسته است، دقت و اهتمام است که با آن حملات، کارمندان مختلف و دارای قابلیت نفوذ متفاوت در سازمان ها را هدف قرار می دهد.
به عنوان مثال، برخی از حسابهای هدفمند متعلق به آنهایی هستند که عناوینی مانند مدیر حساب و مدیر مالی دارند – انواع پستهای سطح متوسط که احتمالاً به منابع ارزشمند دسترسی دارند یا حداقل، پایهای برای تلاشهای بیشتر برای جعل هویت در بالاتر از زنجیره فراهم میکنند. .
سایر حملات مستقیماً به سمت سر هدف میشوند: معاونان رئیسجمهور، مدیران مالی، رئیسجمهورها و مدیران اجرایی.
ابرها جمع آوری می شوند: سقوط سایبری برای سازمان ها
با دسترسی به حسابهای کاربری، عوامل تهدید با برنامههای ابری شرکتها مانند یک بوفه همهچیز که میتوانید بخورید رفتار میکنند.
آنها با استفاده از ابزارهای خودکار، در برنامه های بومی مایکروسافت 365 پرسه می زنند و همه چیز را از سرقت اطلاعات گرفته تا کلاهبرداری مالی و غیره انجام می دهند.
به عنوان مثال، از طریق “Signins من”، آنها تنظیمات احراز هویت چند عاملی قربانی (MFA) را دستکاری می کنند و برنامه احراز هویت یا شماره تلفن خود را برای دریافت کدهای تأیید ثبت می کنند.
آنها همچنین حرکات جانبی را در سازمان ها از طریق Exchange Online انجام می دهند و پیام های بسیار شخصی سازی شده را برای افراد هدف خاص، به ویژه کارکنان بخش های منابع انسانی و مالی که از دسترسی به اطلاعات پرسنل یا منابع مالی لذت می برند، ارسال می کنند. آنها همچنین مشاهده شدهاند که دادههای حساس شرکت را از Exchange (در میان منابع دیگر در 365) استخراج میکنند و قوانین اختصاصی را با هدف پاک کردن تمام شواهد مربوط به فعالیتهایشان از صندوقهای پستی قربانیان ایجاد میکنند.
برای دفاع در برابر این نتایج بالقوه، Proofpoint توصیه میکند که سازمانها به تلاشهای بالقوه دسترسی اولیه و تصاحب حسابها توجه زیادی داشته باشند – بهویژه یک عامل کاربر لینوکس که محققان آن را به عنوان شاخص سازش (IoC) شناسایی کردهاند. سازمانها همچنین باید بهداشت رمز عبور را برای همه کاربران ابر شرکتی اعمال کنند و از سیاستهای اصلاح خودکار برای محدود کردن هرگونه آسیب احتمالی در یک مصالحه موفق استفاده کنند.