Des dizaines d'environnements et des centaines de comptes d'utilisateurs individuels ont déjà été compromis lors d'une campagne de ciblage en cours. Clouds d'entreprise Microsoft Azure.
L’activité est à certains égards dispersée – impliquant l’exfiltration de données, la fraude financière, l’usurpation d’identité, etc., contre des organisations dans une grande variété de régions géographiques et de secteurs d’activité – mais aussi très perfectionnée, avec du phishing sur mesure dirigé contre des individus hautement stratégiques tout au long du processus. échelle d'entreprise.
« Bien que les attaquants puissent paraître opportunistes dans leur approche, la vaste gamme d'activités post-compromission suggère un niveau de sophistication croissant », a déclaré un représentant de Proofpoint à Dark Reading. « Nous reconnaissons que les acteurs de la menace font preuve d'adaptabilité en sélectionnant les outils, tactiques et procédures (TTP) appropriés à partir d'une boîte à outils diversifiée pour s'adapter à chaque circonstance unique. Cette adaptabilité reflète une tendance croissante dans le paysage des menaces cloud.
Compromis du cloud d'entreprise
L'activité en cours remonte au moins à quelques mois, en novembre, lorsque les chercheurs ont repéré pour la première fois des courriels suspects contenant des documents partagés.
Les documents utilisent généralement des leurres de phishing individualisés et, souvent, des liens intégrés qui redirigent vers des pages de phishing malveillantes. L’objectif dans chaque cas est d’obtenir les identifiants de connexion Microsoft 365.
Ce qui ressort, c’est la diligence avec laquelle les attaques ciblent des employés différents et diversement exploitables au sein des organisations.
Certains comptes ciblés, par exemple, appartiennent à ceux qui portent des titres tels que directeur de compte et directeur financier – le type de postes de niveau intermédiaire susceptibles d'avoir accès à des ressources précieuses ou, au moins, de fournir une base pour de nouvelles tentatives d'usurpation d'identité plus haut dans la chaîne. .
D’autres attaques visent directement la tête : vice-présidents, directeurs financiers, présidents, PDG.
Les nuages se rassemblent : les cyber-retombées pour les organisations
En accédant aux comptes d’utilisateurs, les acteurs de la menace traitent les applications cloud d’entreprise comme un buffet à volonté.
À l'aide de boîtes à outils automatisées, ils parcourent applications Microsoft 365 natives, effectuant tout, du vol de données à la fraude financière et bien plus encore.
Par exemple, via « Mes connexions », ils manipuleront les paramètres d'authentification multifacteur (MFA) de la victime, en enregistrant leur propre application d'authentification ou leur propre numéro de téléphone pour recevoir des codes de vérification.
Ils effectuent également des mouvements latéraux dans les organisations via Exchange Online, envoyant des messages hautement personnalisés à des personnes spécialement ciblées, en particulier les employés des services des ressources humaines et des finances qui bénéficient d'un accès aux informations personnelles ou aux ressources financières. Ils ont également été observés en train d'exfiltrer des données d'entreprise sensibles d'Exchange (entre autres sources au sein de 365) et de créer des règles dédiées visant à effacer toutes les preuves de leur activité des boîtes aux lettres des victimes.
Pour se défendre contre ces résultats potentiels, Proofpoint recommande aux organisations de prêter une attention particulière aux tentatives d'accès initiales potentielles et aux piratages de comptes, en particulier à un agent utilisateur Linux que les chercheurs ont identifié comme un indicateur de compromission (IoC). Les organisations doivent également appliquer une hygiène stricte des mots de passe pour tous les utilisateurs du cloud d'entreprise et employer des politiques de correction automatique pour limiter tout dommage potentiel en cas de compromission réussie.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover
- :est
- $UP
- 7
- a
- accès
- Compte
- hybrides
- reconnaître
- à travers
- activités
- activité
- acteurs
- à opposer à
- objectif
- Destinée
- Tous
- le long de
- déjà
- aussi
- parmi
- an
- ainsi que les
- tous
- appli
- apparaître
- une approche
- approprié
- applications
- AS
- At
- Attaques
- Tentatives
- précaution
- Authentification
- Automatisation
- Azure
- RETOUR
- base
- était
- Buffet
- mais
- by
- Campagne
- maisons
- PDG
- CFO
- chaîne
- Fermer
- le cloud
- codes
- compromis
- Compromise
- Entreprises
- La création
- Lettres de créance
- cyber
- des dommages
- Foncé
- Lecture sombre
- données
- Dates
- dévoué
- démontrer
- départements
- différent
- diligence
- dirigé
- plusieurs
- INSTITUTIONNELS
- chacun
- emails
- intégré
- employés
- imposer
- jouir
- environnements
- peut
- preuve
- exemple
- échange
- Execs
- exfiltration
- les
- retombées
- few
- finance
- la traduction de documents financiers
- fraude financière
- Prénom
- Pour
- fraude
- de
- plus
- recueillir
- géographique
- objectif
- Croissance
- Vous avez
- front
- augmentation
- très
- HTTPS
- humain
- Ressources Humaines
- Des centaines
- identifié
- in
- croissant
- Indicateur
- individuel
- individus
- industrie
- info
- initiale
- instance
- impliquant
- jpg
- types
- échelle
- paysage d'été
- au
- Niveau
- comme
- Probable
- LIMIT
- Gauche
- linux
- vous connecter
- malveillant
- manager
- Mai..
- messages
- MFA
- Microsoft
- mois
- PLUS
- mouvement
- authentification multifactorielle
- my
- Novembre
- nombre
- obtenir
- of
- souvent
- en cours
- en ligne
- or
- organisations
- Autre
- ande
- les résultats
- propre
- pages
- particulièrement
- Mot de Passe
- Payer
- Effectuer
- effectuer
- Personnalisé
- personnel
- phishing
- Téléphone
- Platon
- Intelligence des données Platon
- PlatonDonnées
- politiques
- positions
- défaillances
- Présidents
- procédures
- fournir
- gamme
- en cours
- recevoir
- recommande
- réorienter
- reflète
- régions
- enregistrement
- représentant
- chercheurs
- Resources
- s
- la sélection
- envoi
- supérieur
- sensible
- Paramétres
- commun
- devrait
- quelques
- sophistication
- Sources
- spécialement
- peuplements
- droit
- Stratégique
- Strict
- réussi
- tel
- Suggère
- Combinaison
- soupçonneux
- tactique
- Target
- des campagnes marketing ciblées,
- ciblage
- raconte
- qui
- Les
- vol
- leur
- Ces
- l'ont
- this
- ceux
- menace
- acteurs de la menace
- Avec
- titres
- à
- Boîte à outils
- les outils
- traiter
- Trend
- typiquement
- expérience unique et authentique
- utilisé
- Utilisateur
- utilisateurs
- Précieux
- variété
- Ve
- Vérification
- verticales
- très
- via
- vice
- Victime
- victimes
- façons
- we
- quand
- qui
- tout en
- WHO
- large
- sera
- comprenant
- dans les
- zéphyrnet