کمپین در حال انجام هک Azure مدیران ارشد را هدف قرار می دهد | دانش مرکز داده

این مقاله ابتدا در Dark Reading منتشر شد

ده‌ها محیط و صدها حساب کاربری فردی قبلاً در یک کمپین در حال انجام با هدف قرار دادن ابرهای شرکتی Microsoft Azure در معرض خطر قرار گرفته‌اند.

این فعالیت از برخی جهات پراکنده است – شامل استخراج داده ها، کلاهبرداری مالی، جعل هویت، و موارد دیگر، علیه سازمان ها در طیف گسترده ای از مناطق جغرافیایی و بخش های صنعتی – اما همچنین با فیشینگ سفارشی که به افراد بسیار استراتژیک در امتداد این منطقه انجام می شود، بسیار دقیق است. نردبان شرکتی

یکی از نمایندگان Proofpoint می‌گوید: «در حالی که مهاجمان ممکن است در رویکرد خود فرصت‌طلب به نظر برسند، دامنه وسیع فعالیت‌های پس از مصالحه نشان‌دهنده سطح فزاینده‌ای از پیچیدگی است. تاریک خواندن. ما تصدیق می‌کنیم که عوامل تهدید با انتخاب ابزارها، تاکتیک‌ها و رویه‌های مناسب (TTP) از یک جعبه ابزار متنوع متناسب با شرایط منحصر به فرد، سازگاری را نشان می‌دهند. این سازگاری نشان‌دهنده روند رو به رشد در چشم‌انداز تهدید ابری است.»

سازش ابر شرکتی

فعالیت در حال انجام دست کم به چند ماه به نوامبر باز می گردد، زمانی که محققان برای اولین بار ایمیل های مشکوکی حاوی اسناد مشترک را مشاهده کردند.

اسناد معمولاً از فریب های فیشینگ فردی و اغلب پیوندهای جاسازی شده استفاده می کنند که به صفحات فیشینگ مخرب هدایت می شوند. هدف در هر مورد، به دست آوردن اعتبار ورود مایکروسافت 365 است.

آنچه برجسته است، دقت و اهتمام است که با آن حملات، کارمندان مختلف و دارای قابلیت نفوذ متفاوت در سازمان ها را هدف قرار می دهد.

به عنوان مثال، برخی از حساب‌های هدفمند متعلق به آنهایی هستند که عناوینی مانند مدیر حساب و مدیر مالی دارند – انواع پست‌های سطح متوسط ​​که احتمالاً به منابع ارزشمند دسترسی دارند یا حداقل، پایه‌ای برای تلاش‌های بیشتر برای جعل هویت در بالاتر از زنجیره فراهم می‌کنند. .

سایر حملات مستقیماً به سمت سر هدف می‌شوند: معاونان رئیس‌جمهور، مدیران مالی، رئیس‌جمهورها و مدیران اجرایی.

ابرها جمع آوری می شوند: سقوط سایبری برای سازمان ها

با دسترسی به حساب‌های کاربری، عوامل تهدید با برنامه‌های ابری شرکت‌ها مانند یک بوفه همه‌چیز که می‌توانید بخورید رفتار می‌کنند.

آنها با استفاده از ابزارهای خودکار، در برنامه های بومی مایکروسافت 365 پرسه می زنند و همه چیز را از سرقت اطلاعات گرفته تا کلاهبرداری مالی و غیره انجام می دهند.

به عنوان مثال، از طریق “Signins من”، آنها تنظیمات احراز هویت چند عاملی قربانی (MFA) را دستکاری می کنند و برنامه احراز هویت یا شماره تلفن خود را برای دریافت کدهای تأیید ثبت می کنند.

آنها همچنین حرکات جانبی را در سازمان ها از طریق Exchange Online انجام می دهند و پیام های بسیار شخصی سازی شده را برای افراد هدف خاص، به ویژه کارکنان بخش های منابع انسانی و مالی که از دسترسی به اطلاعات پرسنل یا منابع مالی لذت می برند، ارسال می کنند. آنها همچنین مشاهده شده‌اند که داده‌های حساس شرکت را از Exchange (در میان منابع دیگر در 365) استخراج می‌کنند و قوانین اختصاصی را با هدف پاک کردن تمام شواهد مربوط به فعالیت‌هایشان از صندوق‌های پستی قربانیان ایجاد می‌کنند.

برای دفاع در برابر این نتایج بالقوه، Proofpoint توصیه می‌کند که سازمان‌ها به تلاش‌های بالقوه دسترسی اولیه و تصاحب حساب‌ها توجه زیادی داشته باشند – به‌ویژه یک عامل کاربر لینوکس که محققان آن را به عنوان شاخص سازش (IoC) شناسایی کرده‌اند. سازمان‌ها همچنین باید بهداشت رمز عبور را برای همه کاربران ابر شرکتی اعمال کنند و از سیاست‌های اصلاح خودکار برای محدود کردن هرگونه آسیب احتمالی در یک مصالحه موفق استفاده کنند.