Microsoft waarschuwt voor een toename van kwaadaardige activiteiten vanuit een opkomend dreigingscluster dat het volgt Storm-0539 voor het orkestreren van cadeaukaartfraude en -diefstal via zeer geavanceerde e-mail- en sms-phishing-aanvallen tegen detailhandels tijdens het kerstinkopenseizoen.
Het doel van de aanvallen is om boobytrapped-links te verspreiden die slachtoffers naar phishing-pagina’s van de tegenstander in het midden (AiTM) leiden die in staat zijn hun inloggegevens en sessietokens te verzamelen.
“Nadat ze toegang hebben gekregen tot een eerste sessie en token, registreert Storm-0539 hun eigen apparaat voor daaropvolgende secundaire authenticatieprompts, waarbij ze MFA-beveiligingen omzeilen en in de omgeving blijven bestaan met behulp van de volledig gecompromitteerde identiteit”, zegt de technologiegigant. gezegd in een reeks berichten op X (voorheen Twitter).
De op deze manier verkregen voet aan de grond fungeert verder als een kanaal voor het escaleren van privileges, het zijdelings over het netwerk bewegen en toegang krijgen tot cloudbronnen om gevoelige informatie te bemachtigen, met name door achter cadeaukaartgerelateerde diensten aan te gaan om fraude te vergemakkelijken.
Bovendien verzamelt Storm-0539 e-mails, contactlijsten en netwerkconfiguraties voor vervolgaanvallen tegen dezelfde organisaties, waardoor de behoefte aan robuuste praktijken op het gebied van referentiehygiëne noodzakelijk is.
Redmond beschreef de tegenstander in zijn maandelijkse Microsoft 365 Defender-rapport dat vorige maand werd gepubliceerd als een financieel gemotiveerde groep die in ieder geval sinds 2021 actief is.
“Storm-0539 voert uitgebreide verkenningen uit van gerichte organisaties om overtuigende phishing-lokmiddelen te creëren en gebruikersgegevens en tokens te stelen voor initiële toegang”, aldus het rapport.
“De actor is goed thuis in cloudproviders en maakt gebruik van middelen uit de clouddiensten van de doelorganisatie voor activiteiten na een compromis.”
De onthulling komt dagen nadat het bedrijf zei dat het een gerechtelijk bevel had verkregen om beslag te leggen op de infrastructuur van een Vietnamese cybercriminele groep genaamd Storm-1152, die toegang tot ongeveer 750 miljoen frauduleuze Microsoft-accounts verkocht, evenals tools voor het omzeilen van identiteitsverificatie voor andere technologieplatforms.
Eerder deze week waarschuwde Microsoft ook dat meerdere bedreigingsactoren OAuth-applicaties misbruiken om financieel gemotiveerde cybercriminaliteit te automatiseren, zoals zakelijke e-mailcompromis (BEC), phishing, grootschalige spamcampagnes en het inzetten van virtuele machines om illegaal naar cryptocurrencies te minen.
