Decine di ambienti e centinaia di account utente individuali sono già stati compromessi in una campagna di targeting in corso Cloud aziendali di Microsoft Azure.
L'attività è in qualche modo frammentata (comprende l'esfiltrazione di dati, frode finanziaria, furto d'identità e altro, contro organizzazioni in un'ampia varietà di regioni geografiche e settori verticali) ma anche molto raffinata, con phishing su misura diretto a individui altamente strategici lungo il percorso. scala aziendale.
"Sebbene gli aggressori possano apparire opportunisti nel loro approccio, l'ampia gamma di attività post-compromesso suggerisce un crescente livello di sofisticazione", ha detto a Dark Reading un rappresentante di Proofpoint. “Riconosciamo che gli autori delle minacce dimostrano adattabilità selezionando strumenti, tattiche e procedure (TTP) appropriati da un kit diversificato per adattarsi a ogni circostanza unica. Questa adattabilità riflette una tendenza crescente nel panorama delle minacce cloud”.
Compromesso del cloud aziendale
L'attività in corso risale almeno ad alcuni mesi fa, a novembre, quando i ricercatori individuarono per la prima volta e-mail sospette contenenti documenti condivisi.
I documenti in genere utilizzano esche di phishing personalizzate e, spesso, collegamenti incorporati che reindirizzano a pagine di phishing dannose. L'obiettivo in ogni caso è ottenere le credenziali di accesso a Microsoft 365.
Ciò che risalta è la diligenza con cui gli attacchi prendono di mira dipendenti diversi e variamente sfruttabili all’interno delle organizzazioni.
Alcuni account presi di mira, ad esempio, appartengono a quelli con titoli come account manager e direttore finanziario, i tipi di posizioni di medio livello che probabilmente hanno accesso a risorse preziose o, almeno, forniscono una base per ulteriori tentativi di impersonificazione più in alto nella catena .
Altri attacchi mirano direttamente alla testa: vicepresidenti, direttori finanziari, presidenti, amministratori delegati.
Le nuvole si accumulano: ricadute informatiche per le organizzazioni
Avendo accesso agli account utente, gli autori delle minacce trattano le app cloud aziendali come un buffet a volontà.
Usando kit di strumenti automatizzati, vagano applicazioni Microsoft 365 native, eseguendo qualsiasi operazione, dal furto di dati alla frode finanziaria e altro ancora.
Ad esempio, tramite "I miei accessi", manipoleranno le impostazioni di autenticazione a più fattori (MFA) della vittima, registrando la propria app di autenticazione o numero di telefono per ricevere codici di verifica.
Eseguono inoltre movimenti laterali nelle organizzazioni tramite Exchange Online, inviando messaggi altamente personalizzati a individui appositamente mirati, in particolare dipendenti delle risorse umane e dei dipartimenti finanziari che hanno accesso alle informazioni sul personale o alle risorse finanziarie. Sono stati anche osservati mentre estraevano dati aziendali sensibili da Exchange (tra le altre fonti all'interno di 365) e creavano regole dedicate volte a cancellare ogni prova della loro attività dalle caselle di posta delle vittime.
Per difendersi da questi potenziali risultati, Proofpoint raccomanda alle organizzazioni di prestare molta attenzione ai potenziali tentativi di accesso iniziale e alle violazioni degli account, in particolare a uno user-agent Linux che i ricercatori hanno identificato come indicatore di compromissione (IoC). Le organizzazioni dovrebbero inoltre applicare una rigorosa igiene delle password per tutti gli utenti del cloud aziendale e adottare policy di riparazione automatica per limitare eventuali danni in caso di compromissione riuscita.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover
- :È
- $ SU
- 7
- a
- accesso
- Il mio account
- conti
- riconoscere
- operanti in
- attività
- attività
- attori
- contro
- puntare
- Mirato
- Tutti
- lungo
- già
- anche
- tra
- an
- ed
- in qualsiasi
- App
- apparire
- approccio
- opportuno
- applicazioni
- AS
- At
- attacchi
- Tentativi
- attenzione
- Autenticazione
- Automatizzata
- azzurro
- precedente
- base
- stato
- buffet
- ma
- by
- Campagna
- Custodie
- CEO
- CFO
- catena
- Chiudi
- Cloud
- codici
- compromesso
- Compromissione
- Aziende
- Creazione
- Credenziali
- Cyber
- danno
- Scuro
- Lettura oscura
- dati
- Date
- dedicato
- dimostrare
- dipartimenti
- diverso
- diligenza
- indirizzato
- paesaggio differenziato
- documenti
- ogni
- incorporato
- dipendenti
- imporre
- godere
- ambienti
- qualunque cosa
- prova
- esempio
- exchange
- execs
- esfiltrazione
- estensivo
- fallout
- pochi
- finanziare
- finanziario
- Frodi finanziarie
- Nome
- Nel
- frode
- da
- ulteriormente
- raccogliere
- geografico
- scopo
- Crescita
- Avere
- capo
- superiore
- vivamente
- HTTPS
- umano
- Risorse umane
- centinaia
- identificato
- in
- crescente
- individuale
- individui
- industria
- info
- inizialmente
- esempio
- coinvolgendo
- jpg
- tipi
- scala
- paesaggio
- meno
- Livello
- piace
- probabile
- LIMITE
- Collegamento
- linux
- accesso
- maligno
- direttore
- Maggio..
- messaggi
- AMF
- Microsoft
- mese
- Scopri di più
- movimento
- autenticazione a più fattori
- my
- Novembre
- numero
- ottenere
- of
- di frequente
- in corso
- online
- or
- organizzazioni
- Altro
- su
- risultati
- proprio
- pagine
- particolarmente
- Password
- Paga le
- Eseguire
- esecuzione
- Personalizzata
- Personale
- phishing
- telefono
- Platone
- Platone Data Intelligence
- PlatoneDati
- Termini e Condizioni
- posizioni
- potenziale
- Presidenti
- procedure
- fornire
- gamma
- Lettura
- ricevente
- raccomanda
- reindirizzare
- riflette
- regioni
- registrazione
- rappresentante
- ricercatori
- Risorse
- norme
- s
- Selezione
- invio
- anziano
- delicata
- impostazioni
- condiviso
- dovrebbero
- alcuni
- raffinatezza
- fonti
- appositamente
- si
- dritto
- Strategico
- Strict
- di successo
- tale
- suggerisce
- Completo
- sospettoso
- tattica
- Target
- mirata
- mira
- dice
- che
- I
- furto
- loro
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- quelli
- minaccia
- attori della minaccia
- Attraverso
- titoli
- a
- toolkit
- strumenti
- trattare
- Trend
- tipicamente
- unico
- uso
- Utente
- utenti
- Prezioso
- varietà
- Ve
- Convalida
- verticali
- molto
- via
- vice
- Vittima
- vittime
- modi
- we
- quando
- quale
- while
- OMS
- largo
- volere
- con
- entro
- zefiro