Крупномасштабная фишинговая кампания обходит MFA

Злоумышленники использовали атаки "противник посередине" для кражи паролей, перехвата сеансов входа в систему и пропуска аутентификации, а затем использовали почтовые ящики жертв для проведения BEC-атак на другие цели.

Исследователи Microsoft обнаружили масштабную фишинговую кампанию, которая может украсть учетные данные, даже если у пользователя включена многофакторная аутентификация (MFA), и на данный момент пыталась скомпрометировать более 10 000 организаций.

Кампания, активная с сентября 2021 года, основана на использовании фишинговых сайтов "противник посередине" (AiTM) в начальных атаках, чтобы перехватить куки сеанса и украсть учетные данные. После этого злоумышленники могут получить доступ к почтовым ящикам пользователей жертв для проведения дальнейших атак на другие цели, пишет исследовательская группа Microsoft 365 Defender Research Team из Microsoft Threat Intelligence Center (MTIC) в сообщении в блоге, опубликованном во вторник.

При атаках AiTM субъект угрозы устанавливает прокси-сервер между целевым пользователем и сайтом, который пользователь хочет посетить - то есть сайтом, за который злоумышленник хочет выдать себя, пояснили исследователи.

"Такая установка позволяет злоумышленнику украсть и перехватить пароль пользователя и куки сессии, которые подтверждают его текущую аутентифицированную сессию на сайте", - пишут они.

Важно отметить, что этот тип атаки не указывает на уязвимость в типе MFA, используемом в корпоративной почтовой системе, добавили они. AiTM-фишинг крадет куки сессии, поэтому злоумышленник получает аутентификацию в сессии от имени пользователя, независимо от того, какой метод входа он использует, говорят исследователи.

Действительно, злоумышленники с пониманием относятся к тому, что организации все чаще используют MFA для более надежной защиты учетных записей пользователей, и создают более изощренные фишинговые атаки, подобные этой, которые могут обойти ее, отметил специалист по безопасности.

"Хотя MFA, безусловно, ценен и должен использоваться, когда это возможно, перехватывая пароль и куки сессии - а куки сессии показывают, что MFA уже использовался для входа в систему - злоумышленники часто могут обойти необходимость MFA, когда они снова входят в учетную запись позже, используя украденный пароль", - заметил Эрих Крон, пропагандист безопасности в компании KnowBe4, в письме на Threatpost.

По словам исследователей Microsoft, в ходе наблюдения за кампанией они более глубоко изучили принцип работы этих типов атак и то, как они могут быть использованы для проведения вторичных атак с целью компрометации деловой электронной почты (BEC) после получения первоначального доступа к учетной записи.

Фишинговые атаки AiTM зависят от сеанса, который каждый современный веб-сервис устанавливает с пользователем после успешной аутентификации, чтобы пользователь не проходил аутентификацию на каждой новой странице, пояснили исследователи.

"Эта функциональность сеанса реализуется через сессионный файл cookie, предоставляемый службой аутентификации после первоначальной аутентификации", - написали они. "Сессионный файл cookie является для веб-сервера доказательством того, что пользователь прошел аутентификацию и имеет текущую сессию на сайте".

В фишинге AiTM злоумышленник пытается украсть сессионный файл cookie целевого пользователя, чтобы пропустить весь процесс аутентификации и действовать так, как будто он является законным аутентифицированным пользователем, говорят исследователи.

"Для этого злоумышленник устанавливает веб-сервер, который проксирует HTTP-пакеты от пользователя, посещающего фишинговый сайт, на целевой сервер, за который злоумышленник хочет себя выдать, и наоборот", - пишут они. "Таким образом, фишинговый сайт визуально идентичен оригинальному сайту (поскольку все HTTP-пакеты передаются на оригинальный сайт и обратно)".

Эта атака особенно удобна для субъектов угроз, поскольку исключает необходимость создания собственных фишинговых сайтов, подобных тем, которые используются в обычных фишинговых кампаниях, отметили исследователи.

Конкретный вектор атаки

В фишинговой кампании, наблюдаемой исследователями Microsoft, злоумышленники вступают в контакт с потенциальными жертвами, отправляя электронные письма с вложением HTML-файла нескольким получателям в разных организациях. В сообщениях утверждается, что получатели получили сообщение голосовой почты и должны нажать на вложение, чтобы получить доступ к нему, иначе оно будет удалено через 24 часа.

Если пользователь нажимает на ссылку, его перенаправляют на сайт, где сообщается, что через час его снова перенаправят к почтовому ящику с аудиозаписью. Тем временем их просят войти в систему, используя свои учетные данные.

На этом этапе, однако, атака делает нечто уникальное, используя умное кодирование, автоматически заполняя фишинговую целевую страницу адресом электронной почты пользователя, "тем самым усиливая его приманку социальной инженерии", отметили исследователи.

Если пользователь вводит свои учетные данные и проходит аутентификацию, он перенаправляется на легитимную страницу Microsoft office.com. Однако в фоновом режиме злоумышленник перехватывает учетные данные и проходит аутентификацию от имени пользователя, предоставляя ему свободу действий для выполнения последующих действий, сообщили исследователи.

В цепочке фишинговых писем, которую наблюдали исследователи, угрожающий субъект использовал аутентификацию для совершения мошенничества с платежами в рамках вторичных атак из организации, сообщили исследователи.
Последующие BEC и мошенничество с платежами

Злоумышленникам потребовалось менее пяти минут после перехвата сеансов и кражи учетных данных, чтобы начать процесс мошенничества с платежами путем аутентификации в Outlook для доступа к электронным письмам и файловым вложениям, связанным с финансами, сообщили исследователи. На следующий день они обращались к этим письмам и файлам каждые несколько часов в поисках возможностей для совершения мошенничества.

Угроза также удалила из папки "Входящие" скомпрометированной учетной записи оригинальное фишинговое письмо, которое она отправила, чтобы скрыть следы своего первоначального доступа, добавили исследователи.

"Эти действия указывают на то, что злоумышленник пытался совершить мошенничество с платежами вручную", - пишут они.

Злоумышленники также использовали Outlook Web Access (OWA) в браузере Chrome для совершения мошенничества с платежами, используя при этом украденный сессионный cookie взломанной учетной записи, добавили исследователи.

Indicators of Compromise

Domains

  • 32sssaawervvvv.biz
  • adminmmi.biz
  • auth2022.live
  • cleanifl.com
  • docpmsi.us
  • vrtlsrvmapp.biz
  • vrtofcvm.live
  • login.actionspsort.cam
  • login.akasmisoft.xyz
  • login.aueuth11.live
  • login.auth009.xyz
  • login.auth2022.live
  • login.auth83kl.live
  • login.bittermann-hh.co
  • login.cbhbanlc.com
  • login.cleanifl.com
  • login.clfonl365.xyz
  • login.gddss36.live
  • login.grodno-pl.com
  • login.hfs923.shop
  • login.karlandpearson.com
  • login.klm2136.click
  • login.login-micro.mcrsfts-passwdupdate.com
  • login.mcrosfts-updata.live
  • login.mcrosfts-update.cloud
  • login.mcrosfts-update.digital
  • login.mcrosftts-update.cloud
  • login.mcrsft-audio.xyz
  • login.mcrsfts-cloud.live
  • login.mcrsfts-passwd.cloud
  • login.mcrsfts-passwd.digital
  • login.mcrsfts-passwdupdate.com
  • login.mcrsfts-update.cloud
  • login.mcrsfts-update.digital
  • login.mcrsfts-virtualofficevm.com
  • login.mcrsftsvm-app.digital
  • login.mcrsftsvm-app.live
  • login.mcrsfts-voiceapp.digital
  • login.mcrsftsvoice-mail.cloud
  • login.microsecurity.us
  • login.microstoff.xyz
  • login.mljs365.xyz
  • login.mwhhncndn.xyz
  • login.mycrsfts-passwd.live
  • login.qwwxthn.xyz
  • login.seafoodsconnection.com
  • login.sunmarks.co.uk
  • login.tfosorcimonline.xyz
  • login.whitmanlab.uk
  • login.yi087011.xyz
SEC-1275-1
Добавить комментарий