В отчете, опубликованном в четверг, Компания Microsoft сообщила, что банковские и финансовые организации стали мишенью новой фишинговой атаки. а также многоэтапная компрометация корпоративной электронной почты (BEC), известная как атака «противник посередине» (AitM).
Технологический гигант указал, что атака была совершена со стороны скомпрометированного доверенного поставщика услуг. Это переросло в серию атак типа «нападение на цель» и действий, связанных с мошенничеством с использованием электронной почты (BEC). Это затронуло множество организаций.
Microsoft обнаружила мощную атаку на банковские учреждения.
Microsoft, которая внимательно следит за этой группой под новым названием Storm-1167.Он подчеркнул, что группа использовала косвенного посредника для осуществления нападения.
Это позволило нападавшим Гибко адаптируйте фишинговые страницы к своим целям и осуществляйте кражу сессионных файлов cookie.Это подчеркивает сохраняющуюся изощренность атак типа «машина времени».
Методика этой атаки отличается от методов других кампаний «атака в ход». где страницы-приманки выступают в качестве обратного прокси-сервера для сбора учетных данных и паролей. разовые временные интервалы (TOTP), вводимые жертвами.
Злоумышленник предоставил жертвам доступ к веб-сайту, имитирующему страницу входа в целевое приложение, как это происходит в традиционных фишинговых атаках, размещенному в облачном сервисе.
Microsoft
«Страница входа содержала ресурсы, загруженные с сервера, контролируемого злоумышленником». которая инициировала сеанс аутентификации с поставщиком аутентификации приложения. «Целенаправленная атака с использованием учетных данных жертвы», — добавили в Microsoft.
Цепочки атак начинаются с фишингового электронного письма, которое перенаправляет жертву на поддельную страницу входа в Microsoft.где вас попросят ввести ваши учетные данные и TOTP.
Собранные пароли и сессионные cookie используются для выдачи себя за пользователя и получения несанкционированного доступа к почтовому ящику посредством атаки повторного воспроизведения. Затем, Этот доступ используется для получения конфиденциальных электронных писем и проведения атаки типа BEC (Business Email Compromise — мошенничество с использованием электронной почты)..
Кроме того, Добавлен новый метод двухфакторной аутентификации на основе текстовых сообщений. чтобы войти в целевую учетную запись, используя украденные учетные данные, не привлекая внимания.
Масштабная атака, включающая 16 000 электронных писем.
В ходе анализа инцидента, проведенного Microsoft, сообщается, что злоумышленник развернул масштабную спам-кампанию. Отправка более 16 000 электронных писем контактам скомпрометированного пользователя.как внутри, так и за пределами организации, а также по спискам рассылки.
Также было отмечено, что противник принял решение Меры по минимизации обнаружения и обеспечению постоянного присутствия при ответе на входящие электронные письма. а затем принять меры по их удалению из почтового ящика.
В конечном итоге, получатели Фишинговые электронные письма становятся целью второй атаки типа AitM (Active Iron Man), направленной на кражу ваших учетных данных. и запустить еще одну фишинговую кампанию из почтового ящика одного из пользователей, чей аккаунт был взломан в результате атаки типа «машина времени».
«Эта атака демонстрирует Сложность угроз AitM и BEC, которые злоупотребляют доверительными отношениями между поставщиками.«Поставщики услуг и другие связанные с ними организации с целью совершения финансового мошенничества», — добавила компания.
Это открытие произошло менее чем через месяц после Microsoft предупредила об увеличении числа BEC-атак. а также меняющиеся тактики, используемые киберпреступниками, включая использование таких платформ, как BulletProftLink, для создания масштабных вредоносных рассылок по электронной почте.
Другая тактика Это предполагает использование домашних IP-адресов. «Таким образом, создается впечатление, что атаки осуществляются локально», — пояснил технологический гигант.
Злоумышленники, использующие BEC-мошенничество, приобретают IP-адреса у резидентных IP-провайдеров, которые соответствуют местоположению жертвы, создавая таким образом резидентные IP-прокси, позволяющие киберпреступникам скрывать свое происхождение.
Редмонд.
Комментарии закрыты.