ده ها محیط و صدها حساب کاربری فردی قبلاً در یک هدف گذاری کمپین در حال انجام در معرض خطر قرار گرفته اند. ابرهای شرکتی Microsoft Azure.

این فعالیت از برخی جهات پراکنده است - شامل استخراج داده ها، کلاهبرداری مالی، جعل هویت، و موارد دیگر، علیه سازمان ها در طیف گسترده ای از مناطق جغرافیایی و بخش های صنعتی - اما همچنین با فیشینگ سفارشی که به افراد بسیار استراتژیک در امتداد این منطقه انجام می شود، بسیار دقیق است. نردبان شرکتی

یکی از نمایندگان Proofpoint به Dark Reading می‌گوید: «در حالی که مهاجمان ممکن است در رویکرد خود فرصت‌طلب به نظر برسند، دامنه وسیع فعالیت‌های پس از سازش نشان‌دهنده سطح فزاینده‌ای از پیچیدگی است. ما تصدیق می‌کنیم که عوامل تهدید با انتخاب ابزارها، تاکتیک‌ها و رویه‌های مناسب (TTP) از یک جعبه ابزار متنوع و متناسب با هر شرایط منحصر به فرد، سازگاری را نشان می‌دهند. این سازگاری نشان دهنده روند رو به رشد در چشم انداز تهدید ابر است.

سازش ابر شرکتی

فعالیت در حال انجام دست کم به چند ماه به نوامبر باز می گردد، زمانی که محققان برای اولین بار ایمیل های مشکوکی حاوی اسناد مشترک را مشاهده کردند.

اسناد معمولاً از فریب های فیشینگ فردی و اغلب پیوندهای جاسازی شده استفاده می کنند که به صفحات فیشینگ مخرب هدایت می شوند. هدف در هر مورد، به دست آوردن اعتبار ورود مایکروسافت 365 است.

آنچه برجسته است، دقت و اهتمام است که با آن حملات، کارمندان مختلف و دارای قابلیت نفوذ متفاوت در سازمان ها را هدف قرار می دهد.

به عنوان مثال، برخی از حساب‌های هدفمند متعلق به آنهایی هستند که عناوینی مانند مدیر حساب و مدیر مالی دارند - انواع پست‌های سطح متوسط ​​که احتمالاً به منابع ارزشمند دسترسی دارند یا حداقل، پایه‌ای برای تلاش‌های بیشتر برای جعل هویت در بالاتر از زنجیره فراهم می‌کنند. .

سایر حملات مستقیماً به سمت سر هدف می‌شوند: معاونان رئیس‌جمهور، مدیران مالی، رئیس‌جمهورها، مدیران عامل.

ابرها جمع آوری می شوند: سقوط سایبری برای سازمان ها

با دسترسی به حساب‌های کاربری، عوامل تهدید با برنامه‌های ابری شرکت‌ها مانند یک بوفه همه‌چیز که می‌توانید بخورید رفتار می‌کنند.

با استفاده از جعبه ابزار خودکار، آنها در سراسر جهان پرسه می زنند برنامه های بومی مایکروسافت 365، انجام همه چیز از سرقت داده تا کلاهبرداری مالی و موارد دیگر.

به عنوان مثال، از طریق "Signins من"، آنها تنظیمات احراز هویت چند عاملی قربانی (MFA) را دستکاری می کنند و برنامه احراز هویت یا شماره تلفن خود را برای دریافت کدهای تأیید ثبت می کنند.

آنها همچنین حرکات جانبی را در سازمان ها از طریق Exchange Online انجام می دهند و پیام های بسیار شخصی سازی شده را برای افراد هدف خاص، به ویژه کارکنان بخش های منابع انسانی و مالی که از دسترسی به اطلاعات پرسنل یا منابع مالی لذت می برند، ارسال می کنند. آنها همچنین مشاهده شده‌اند که داده‌های حساس شرکت را از Exchange استخراج می‌کنند (در میان منابع دیگر در 365) و قوانین اختصاصی ایجاد می‌کنند که هدف آنها پاک کردن تمام شواهد مربوط به فعالیت‌شان از صندوق پستی قربانیان است.

برای دفاع در برابر این نتایج بالقوه، Proofpoint توصیه می‌کند که سازمان‌ها توجه زیادی به تلاش‌های بالقوه دسترسی اولیه و تصاحب حساب‌ها داشته باشند - به‌ویژه یک عامل کاربر لینوکس که محققان آن را به عنوان شاخص سازش (IoC) شناسایی کرده‌اند. سازمان‌ها همچنین باید بهداشت رمز عبور را برای همه کاربران ابر شرکتی اعمال کنند و از سیاست‌های اصلاح خودکار برای محدود کردن هرگونه آسیب احتمالی در یک مصالحه موفق استفاده کنند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover