Dezenas de ambientes e centenas de contas de usuários individuais já foram comprometidas em uma campanha contínua direcionada Nuvens corporativas do Microsoft Azure.
A atividade é, de certa forma, dispersa - envolvendo exfiltração de dados, fraude financeira, falsificação de identidade e muito mais, contra organizações em uma ampla variedade de regiões geográficas e setores verticais da indústria - mas também muito aprimorada, com phishing personalizado direcionado a indivíduos altamente estratégicos ao longo do escada corporativa.
“Embora os invasores possam parecer oportunistas em sua abordagem, a extensa gama de atividades pós-comprometimento sugere um nível crescente de sofisticação”, disse um representante da Proofpoint à Dark Reading. “Reconhecemos que os agentes de ameaças demonstram adaptabilidade ao selecionar ferramentas, táticas e procedimentos (TTPs) apropriados em um kit de ferramentas diversificado para atender cada circunstância única. Essa adaptabilidade reflete uma tendência crescente no cenário de ameaças na nuvem.”
Compromisso da nuvem corporativa
A atividade em andamento remonta pelo menos alguns meses a novembro, quando os pesquisadores detectaram pela primeira vez e-mails suspeitos contendo documentos compartilhados.
Os documentos normalmente usam iscas de phishing individualizadas e, muitas vezes, links incorporados que redirecionam para páginas de phishing maliciosas. O objetivo em cada caso é obter credenciais de login do Microsoft 365.
O que se destaca é a diligência com que os ataques atingem diferentes funcionários, com diversas possibilidades de alavancagem, dentro das organizações.
Algumas contas-alvo, por exemplo, pertencem a pessoas com títulos como gerente de contas e gerente financeiro – os tipos de cargos de nível médio que provavelmente terão acesso a recursos valiosos ou, pelo menos, fornecerão uma base para novas tentativas de falsificação de identidade em níveis mais altos da cadeia. .
Outros ataques visam diretamente a cabeça: vice-presidentes, CFOs, presidentes, CEOs.
Nuvens se reúnem: consequências cibernéticas para organizações
Com acesso às contas dos usuários, os agentes da ameaça tratam os aplicativos corporativos em nuvem como um bufê à vontade.
Usando kits de ferramentas automatizados, eles percorrem aplicativos nativos do Microsoft 365, realizando tudo, desde roubo de dados até fraude financeira e muito mais.
Por exemplo, através de “My Signins”, eles manipularão as configurações de autenticação multifatorial (MFA) da vítima, registrando seu próprio aplicativo autenticador ou número de telefone para receber códigos de verificação.
Eles também realizam movimentos laterais nas organizações por meio do Exchange Online, enviando mensagens altamente personalizadas para indivíduos especialmente direcionados, especialmente funcionários dos departamentos de recursos humanos e financeiros que têm acesso a informações pessoais ou recursos financeiros. Eles também foram observados exfiltrando dados corporativos confidenciais do Exchange (entre outras fontes do 365) e criando regras dedicadas destinadas a apagar todas as evidências de suas atividades das caixas de correio das vítimas.
Para se defender contra esses resultados potenciais, a Proofpoint recomenda que as organizações prestem muita atenção a possíveis tentativas iniciais de acesso e apropriações de contas – particularmente um agente de usuário Linux que os pesquisadores identificaram como um indicador de comprometimento (IoC). As organizações também devem impor uma higiene rigorosa de senhas para todos os usuários corporativos da nuvem e empregar políticas de correção automática para limitar qualquer dano potencial em um comprometimento bem-sucedido.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover
- :é
- $UP
- 7
- a
- Acesso
- Conta
- Contas
- reconhecer
- em
- atividades
- atividade
- atores
- contra
- visar
- Destinado
- Todos os Produtos
- juntamente
- já
- tb
- entre
- an
- e
- qualquer
- app
- aparecer
- abordagem
- apropriado
- Aplicativos
- AS
- At
- Ataques
- Tentativas
- por WhatsApp.
- Autenticação
- Automatizado
- Azul
- em caminho duplo
- base
- sido
- bufê
- mas a
- by
- Campanha
- casas
- CEOs
- CFOs
- cadeia
- Fechar
- Na nuvem
- códigos
- compromisso
- Comprometido
- Responsabilidade
- Criar
- Credenciais
- cibernético
- dano
- Escuro
- Leitura escura
- dados,
- Datas
- dedicado
- demonstrar
- departamentos
- diferente
- diligência
- dirigido
- diferente
- INSTITUCIONAIS
- cada
- e-mails
- incorporado
- colaboradores
- aplicar
- desfrutar
- ambientes
- tudo
- evidência
- exemplo
- exchange
- Executivos
- exfiltração
- extenso
- fallout
- poucos
- financiar
- financeiro
- fraude financeira
- Primeiro nome
- Escolha
- fraude
- da
- mais distante
- reunir
- geográfico
- meta
- Crescente
- Ter
- cabeça
- superior
- altamente
- HTTPS
- humano
- Recursos Humanos
- Centenas
- identificado
- in
- aumentando
- Indicador
- Individual
- indivíduos
- indústria
- info
- do estado inicial,
- instância
- envolvendo
- jpg
- tipos
- escada
- paisagem
- mínimo
- Nível
- como
- Provável
- LIMITE
- Links
- linux
- entrar
- malicioso
- Gerente
- Posso..
- mensagens
- MFA
- Microsoft
- mês
- mais
- movimento
- autenticação multifator
- my
- Novembro
- número
- obter
- of
- frequentemente
- contínuo
- online
- or
- organizações
- Outros
- Fora
- resultados
- próprio
- páginas
- particularmente
- Senha
- Pagar
- Realizar
- realização
- Personalizado
- Pessoal
- Phishing
- telefone
- platão
- Inteligência de Dados Platão
- PlatãoData
- políticas
- abertas
- potencial
- Presidentes
- procedimentos
- fornecer
- alcance
- Leitura
- receber
- recomenda
- redirecionar
- reflete
- regiões
- registro
- representante
- pesquisadores
- Recursos
- regras
- s
- selecionando
- envio
- senior
- sensível
- Configurações
- compartilhado
- rede de apoio social
- alguns
- sofisticação
- Fontes
- especialmente
- fica
- direto
- Estratégico
- Estrito
- bem sucedido
- tal
- Sugere
- terno
- suspeito
- tática
- Target
- visadas
- alvejando
- conta
- que
- A
- roubo
- deles
- Este
- deles
- isto
- aqueles
- ameaça
- atores de ameaças
- Através da
- títulos
- para
- kit de ferramentas
- ferramentas
- tratar
- Trend
- tipicamente
- único
- usar
- Utilizador
- usuários
- Valioso
- variedade
- Ve
- Verificação
- Verticais
- muito
- via
- vício
- Vítima
- vítimas
- maneiras
- we
- quando
- qual
- enquanto
- QUEM
- Largo
- precisarão
- de
- dentro
- zefirnet