Продолжающаяся вредоносная кампания, затрагивающая облачные среды Azure

security IOC

Исследователи компании Proofpoint отслеживают продолжающуюся кампанию по захвату облачных учетных записей, которая затронула десятки сред Microsoft Azure и скомпрометировала сотни учетных записей пользователей, включая руководителей высшего звена.

Атака объединяет фишинг учетных данных и методы захвата облачных учетных записей (ATO). Злоумышленники атакуют пользователей, используя индивидуальные фишинговые приманки в общих документах. Разнообразный выбор целевых ролей указывает на практическую стратегию злоумышленников, направленную на компрометацию учетных записей с различными уровнями доступа к ценным ресурсам и обязанностям в рамках организационных функций. Успешный первоначальный доступ часто приводит к последовательности несанкционированных действий после компрометации, включая манипуляции с MFA, утечку данных, внутренний и внешний фишинг, финансовые махинации и нарушение правил почтового ящика. Использование определенного пользовательского агента Linux, применяемого злоумышленниками на этапе доступа в цепочке атак, является одним из IOC. Злоумышленники преимущественно используют этот пользовательский агент для доступа к приложению для входа в систему 'OfficeHome', а также для несанкционированного доступа к другим собственным приложениям Microsoft365.

Indicators of Compromise

Domains

  • makeapp.today
  • mol.ru
  • obnya.com
  • sachacel.ru
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий