Злоумышленники используют продвинутые наборы фишинговых инструментов и атаки Adversary-in-the-Middle

phishing IOC

Злоумышленники все чаще используют передовые наборы инструментов и методов фишинга для проведения атак типа «Злоумышленник посередине» (Adversary-in-the-Middle, AitM).

Описание

Эти атаки основаны на использовании прокси-сервера легитимного сервиса, который имитирует ожидаемый сайт, чтобы получить доступ к учетной записи пользователя и контролировать его действия. Компания Darktrace обнаружила и ликвидировала сложную атаку типа AitM, использующую популярный облачный сервис хранения данных Dropbox. Злоумышленники отправляли фишинговые письма с заголовками, предполагающими, что человек делится вложениями, связанными со счетами. При переходе по плохим ссылкам пользователи фактически взаимодействовали с устройством злоумышленников, что позволяло им получить доступ к учетным записям и провести различные вредоносные действия.

Darktrace обнаружила подозрительные действия в среде клиента, свидетельствующие о наличии атаки AitM. Атаки типа AitM обходят многофакторную аутентификацию (MFA), перехватывая учетные данные пользователя и его токен. Таким образом, злоумышленники могут получить доступ к важным ресурсам организации. Darktrace распознала кражу токена через AitM, анализируя действия пользователей и шаблоны аутентификации. Darktrace также обнаружила, что пользователь входил в систему из двух разных мест примерно в одно и то же время и регистрировал информацию о безопасности с помощью Microsoft Authenticator. Это может свидетельствовать о попытке злоумышленника сохранить доступ к учетной записи.

Дополнительный анализ показал, что конечная точка была связана с прокси-сетью обратного вызова, что подтверждало наличие сетевого устройства, перенаправляющего трафик и собирающего информацию. Также было замечено, что пользователь регистрировал информацию о безопасности с помощью Microsoft Authenticator, что указывает на попытку злоумышленника создать новый метод MFA для обхода требований MFA в будущем.

Indicators of Compromise

IPv4

  • 41.90.175.46
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий