Devam eden bir kampanya hedeflemesinde düzinelerce ortam ve yüzlerce bireysel kullanıcı hesabının güvenliği zaten ihlal edildi Microsoft Azure kurumsal bulutları.
Faaliyet bazı yönlerden dağınıktır (çok çeşitli coğrafi bölgelerdeki ve sektördeki kuruluşlara karşı veri sızdırma, finansal dolandırıcılık, kimliğe bürünme ve daha fazlasını içerir), ancak aynı zamanda son derece stratejik bireylere yönelik özel hazırlanmış kimlik avı ile oldukça da bilenmiştir. kurumsal merdiven.
Bir Proofpoint temsilcisi Dark Reading’e şöyle söylüyor: “Saldırganlar yaklaşımlarında fırsatçı görünse de, uzlaşma sonrası faaliyetlerin geniş yelpazesi, artan düzeyde karmaşıklığa işaret ediyor.” “Tehdit aktörlerinin, her benzersiz duruma uyacak çeşitli araç setinden uygun araçları, taktikleri ve prosedürleri (TTP’ler) seçerek uyarlanabilirlik sergilediklerini kabul ediyoruz. Bu uyarlanabilirlik, bulut tehdit ortamında büyüyen bir eğilimi yansıtıyor.”
Kurumsal Bulut Uzlaşması
Devam eden faaliyet, araştırmacıların paylaşılan belgeleri içeren şüpheli e-postaları ilk tespit ettiği Kasım ayına kadar en az birkaç ay öncesine dayanıyor.
Belgeler genellikle kişiselleştirilmiş kimlik avı tuzakları ve genellikle kötü amaçlı kimlik avı sayfalarına yönlendiren gömülü bağlantılar kullanır. Her durumda amaç, Microsoft 365 oturum açma kimlik bilgilerini elde etmektir.
Öne çıkan şey, saldırıların kuruluşlar içindeki farklı, çeşitli şekillerde yararlanılabilen çalışanları hedef alma konusundaki titizliğidir.
Örneğin, hedeflenen bazı hesaplar, hesap yöneticisi ve finans yöneticisi gibi unvanlara sahip olanlara aittir; bunlar, değerli kaynaklara erişime sahip olması muhtemel veya en azından zincirin daha yukarılarında başka kimliğe bürünme girişimleri için bir temel oluşturabilecek orta düzey pozisyonlardır. .
Diğer saldırılar doğrudan kafayı hedef alır: başkan yardımcıları, CFO’lar, başkanlar, CEO’lar.
Bulutlar Toplanıyor: Organizasyonlar İçin Siber Serpinti
Tehdit aktörleri, kullanıcı hesaplarına erişim sayesinde kurumsal bulut uygulamalarına, yiyebildiğin kadar yiyebileceğin bir büfe gibi davranıyor.
Otomatik araç takımlarını kullanarak dolaşıyorlar yerel Microsoft 365 uygulamalarıveri hırsızlığından mali dolandırıcılığa ve daha fazlasına kadar her şeyi gerçekleştiriyor.
Örneğin, “Oturumlarım” aracılığıyla kurbanın çok faktörlü kimlik doğrulama (MFA) ayarlarını değiştirecekler ve doğrulama kodlarını almak için kendi kimlik doğrulama uygulamalarını veya telefon numaralarını kaydedecekler.
Ayrıca, Exchange Online aracılığıyla kuruluşlarda yanal hareketler gerçekleştirerek, özel olarak hedeflenen kişilere, özellikle de personel bilgilerine veya finansal kaynaklara erişimden yararlanan insan kaynakları ve finans departmanlarının çalışanlarına son derece kişiselleştirilmiş mesajlar gönderiyorlar. Ayrıca Exchange’den (365 içindeki diğer kaynakların yanı sıra) hassas kurumsal verileri sızdırdıkları ve faaliyetlerine dair tüm kanıtları kurbanların posta kutularından silmeyi amaçlayan özel kurallar oluşturdukları da gözlemlendi.
Bu potansiyel sonuçlara karşı savunma yapmak için Proofpoint, kuruluşların potansiyel ilk erişim girişimlerine ve hesap devralma işlemlerine, özellikle de araştırmacıların bir uzlaşma göstergesi (IoC) olarak tanımladığı bir Linux kullanıcı aracısına çok dikkat etmelerini tavsiye ediyor. Kuruluşlar ayrıca tüm kurumsal bulut kullanıcıları için sıkı şifre hijyeni uygulamalı ve başarılı bir uzlaşmada olası zararları sınırlamak için otomatik düzeltme politikaları uygulamalıdır.