За последние несколько лет в организациях все чаще используется многофакторная аутентификация (MFA). Вопреки ожиданиям, среди арендаторов, имеющих защиту MFA, увеличилось число случаев захвата учетных записей. По нашим данным, не менее 35% всех скомпрометированных пользователей за последний год имели MFA.
Атакующие стороны совершенствуют свои методы компрометации учетных записей; один из них, который мы наблюдали, оказался особенно эффективным. Злоумышленники используют новые усовершенствованные средства автоматизации, позволяющие в режиме реального времени точно определить, является ли сфабрикованный пользователь профилем высокого уровня, и немедленно получить доступ к учетной записи, игнорируя менее прибыльные сфабрикованные профили.
- За последние полгода исследователи Proofpoint зафиксировали резкий рост числа успешных инцидентов захвата учетных записей в "облаке", затрагивающих высокопоставленных руководителей ведущих компаний, более чем на 100%.
- Объектами атак стали более 100 организаций по всему миру, в которых работают 1,5 млн сотрудников.
- Угрозы использовали EvilProxy - фишинговый инструмент, основанный на архитектуре обратного прокси, который позволяет злоумышленникам похищать защищенные MFA учетные данные и куки сеанса.
- Эта растущая угроза сочетает в себе сложный фишинг по принципу "Adversary-in-the-Middle" с передовыми методами захвата учетных записей, что является реакцией на растущее внедрение многофакторной аутентификации в организациях.
Indicators of Compromise
IPv4
- 104.183.206.97
- 154.29.75.192
- 172.102.23.21
- 185.241.52.78
- 185.250.243.176
- 185.250.243.38
- 191.96.227.102
- 198.44.132.249
- 212.224.107.12
- 45.8.191.151
- 45.8.191.17
- 74.208.49.213
- 77.91.84.52
- 78.153.130.178
- 87.120.37.47
- 90.92.138.71
Domains
- 01-net.com
- 837.best
- abbotsfordbc.com
- ae-lrmed.com
- andrealynnsanders.com
- bdowh.com
- cad-3.com
- cdjcfc.com
- chiromaflo.com
- cmzo-eu.cz
- concur.bond
- concurcloud.us
- concursolution.us
- concursolutions.info
- cualn.com
- d8z.net
- dealemd.com
- dl2b.com
- dsa-erie.com
- dse.best
- dse.buzz
- dsena.net
- e-csg.com
- etrax.eu
- farmacgroup.ca
- faxphoto.com
- fdh.aero
- finsw.com
- fortnelsonbc.com
- g3u.eu
- greatbayservices.com
- gwcea.com
- indevsys.com
- inteproinc.com
- jxh.us
- k4a.eu
- kayakingbc.com
- kirklandellis.net
- kofisch.com
- ld3.eu
- mde45.com
- mjdac.com
- n4q.net
- na3.wiki
- na-7.com
- nilyn.us
- p1q.eu
- pagetome.com
- parsfn.com
- pbcinvestment.com
- phillipsoc.com
- pwsarch.com
- re5.eu
- sloanecarpet.com
- ssidaignostica.com
- tallwind.com.tr
- ukbarrister.com
- utnets.com
- uv-pm.com
- vleonard.com
- wattsmed.com
- whoyiz.com
- wj-asys.com
- wmbr.us
- wwgstaff.com
- xp1.us
- xstpl.com
Emails
