ده ها محیط و صدها حساب کاربری فردی قبلاً در یک هدف گذاری کمپین در حال انجام در معرض خطر قرار گرفته اند. ابرهای شرکتی Microsoft Azure.
این فعالیت از برخی جهات پراکنده است - شامل استخراج داده ها، کلاهبرداری مالی، جعل هویت، و موارد دیگر، علیه سازمان ها در طیف گسترده ای از مناطق جغرافیایی و بخش های صنعتی - اما همچنین با فیشینگ سفارشی که به افراد بسیار استراتژیک در امتداد این منطقه انجام می شود، بسیار دقیق است. نردبان شرکتی
یکی از نمایندگان Proofpoint به Dark Reading میگوید: «در حالی که مهاجمان ممکن است در رویکرد خود فرصتطلب به نظر برسند، دامنه وسیع فعالیتهای پس از سازش نشاندهنده سطح فزایندهای از پیچیدگی است. ما تصدیق میکنیم که عوامل تهدید با انتخاب ابزارها، تاکتیکها و رویههای مناسب (TTP) از یک جعبه ابزار متنوع و متناسب با هر شرایط منحصر به فرد، سازگاری را نشان میدهند. این سازگاری نشان دهنده روند رو به رشد در چشم انداز تهدید ابر است.
سازش ابر شرکتی
فعالیت در حال انجام دست کم به چند ماه به نوامبر باز می گردد، زمانی که محققان برای اولین بار ایمیل های مشکوکی حاوی اسناد مشترک را مشاهده کردند.
اسناد معمولاً از فریب های فیشینگ فردی و اغلب پیوندهای جاسازی شده استفاده می کنند که به صفحات فیشینگ مخرب هدایت می شوند. هدف در هر مورد، به دست آوردن اعتبار ورود مایکروسافت 365 است.
آنچه برجسته است، دقت و اهتمام است که با آن حملات، کارمندان مختلف و دارای قابلیت نفوذ متفاوت در سازمان ها را هدف قرار می دهد.
به عنوان مثال، برخی از حسابهای هدفمند متعلق به آنهایی هستند که عناوینی مانند مدیر حساب و مدیر مالی دارند - انواع پستهای سطح متوسط که احتمالاً به منابع ارزشمند دسترسی دارند یا حداقل، پایهای برای تلاشهای بیشتر برای جعل هویت در بالاتر از زنجیره فراهم میکنند. .
سایر حملات مستقیماً به سمت سر هدف میشوند: معاونان رئیسجمهور، مدیران مالی، رئیسجمهورها، مدیران عامل.
ابرها جمع آوری می شوند: سقوط سایبری برای سازمان ها
با دسترسی به حسابهای کاربری، عوامل تهدید با برنامههای ابری شرکتها مانند یک بوفه همهچیز که میتوانید بخورید رفتار میکنند.
با استفاده از جعبه ابزار خودکار، آنها در سراسر جهان پرسه می زنند برنامه های بومی مایکروسافت 365، انجام همه چیز از سرقت داده تا کلاهبرداری مالی و موارد دیگر.
به عنوان مثال، از طریق "Signins من"، آنها تنظیمات احراز هویت چند عاملی قربانی (MFA) را دستکاری می کنند و برنامه احراز هویت یا شماره تلفن خود را برای دریافت کدهای تأیید ثبت می کنند.
آنها همچنین حرکات جانبی را در سازمان ها از طریق Exchange Online انجام می دهند و پیام های بسیار شخصی سازی شده را برای افراد هدف خاص، به ویژه کارکنان بخش های منابع انسانی و مالی که از دسترسی به اطلاعات پرسنل یا منابع مالی لذت می برند، ارسال می کنند. آنها همچنین مشاهده شدهاند که دادههای حساس شرکت را از Exchange استخراج میکنند (در میان منابع دیگر در 365) و قوانین اختصاصی ایجاد میکنند که هدف آنها پاک کردن تمام شواهد مربوط به فعالیتشان از صندوق پستی قربانیان است.
برای دفاع در برابر این نتایج بالقوه، Proofpoint توصیه میکند که سازمانها توجه زیادی به تلاشهای بالقوه دسترسی اولیه و تصاحب حسابها داشته باشند - بهویژه یک عامل کاربر لینوکس که محققان آن را به عنوان شاخص سازش (IoC) شناسایی کردهاند. سازمانها همچنین باید بهداشت رمز عبور را برای همه کاربران ابر شرکتی اعمال کنند و از سیاستهای اصلاح خودکار برای محدود کردن هرگونه آسیب احتمالی در یک مصالحه موفق استفاده کنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover