Исследователи компании Proofpoint отслеживают продолжающуюся кампанию по захвату облачных учетных записей, которая затронула десятки сред Microsoft Azure и скомпрометировала сотни учетных записей пользователей, включая руководителей высшего звена.
Атака объединяет фишинг учетных данных и методы захвата облачных учетных записей (ATO). Злоумышленники атакуют пользователей, используя индивидуальные фишинговые приманки в общих документах. Разнообразный выбор целевых ролей указывает на практическую стратегию злоумышленников, направленную на компрометацию учетных записей с различными уровнями доступа к ценным ресурсам и обязанностям в рамках организационных функций. Успешный первоначальный доступ часто приводит к последовательности несанкционированных действий после компрометации, включая манипуляции с MFA, утечку данных, внутренний и внешний фишинг, финансовые махинации и нарушение правил почтового ящика. Использование определенного пользовательского агента Linux, применяемого злоумышленниками на этапе доступа в цепочке атак, является одним из IOC. Злоумышленники преимущественно используют этот пользовательский агент для доступа к приложению для входа в систему 'OfficeHome', а также для несанкционированного доступа к другим собственным приложениям Microsoft365.
Indicators of Compromise
Domains
- makeapp.today
- mol.ru
- obnya.com
- sachacel.ru