Microsoft waarschuwt voor cyberaanvalcampagnes die misbruik maken van legitieme bestandshostingservices zoals SharePoint, OneDrive en Dropbox, die in bedrijfsomgevingen veel worden gebruikt als tactiek om verdediging te ontwijken.
Het einddoel van de campagnes is breed en gevarieerd, waardoor bedreigingsactoren identiteiten en apparaten kunnen compromitteren en zakelijke e-mailcompromisaanvallen (BEC) kunnen uitvoeren, die uiteindelijk resulteren in financiële fraude, gegevensexfiltratie en zijdelingse verplaatsing naar andere eindpunten.
Het bewapenen van legitieme internetdiensten (LIS) is een steeds populairder wordende risicovector die door tegenstanders wordt overgenomen om op te gaan in legitiem netwerkverkeer op een manier die vaak de traditionele beveiligingsmaatregelen omzeilt en attributie-inspanningen bemoeilijkt.
De aanpak wordt ook wel living-off-trusted-sites (LOTS) genoemd, omdat het gebruik maakt van het vertrouwen en de bekendheid van deze services om e-mailbeveiligingsrails te omzeilen en malware te verspreiden.
Microsoft zei dat het sinds medio april 2024 een nieuwe trend heeft waargenomen in phishing-campagnes waarbij gebruik wordt gemaakt van legitieme bestandshostingdiensten waarbij bestanden met beperkte toegang en alleen-lezen-beperkingen betrokken zijn.
Dergelijke aanvallen beginnen vaak met het compromitteren van een gebruiker binnen een vertrouwde leverancier, waarbij gebruik wordt gemaakt van de toegang om kwaadaardige bestanden en payloads op de bestandshostingservice te plaatsen, zodat deze vervolgens kunnen worden gedeeld met een doelentiteit.
“De bestanden die via de phishing-e-mails worden verzonden, zijn geconfigureerd om uitsluitend toegankelijk te zijn voor de aangewezen ontvanger”, aldus het rapport. “Hiervoor moet de ontvanger zijn aangemeld bij de dienst voor het delen van bestanden – of het nu Dropbox, OneDrive of SharePoint is – of zich opnieuw authenticeren door zijn e-mailadres in te voeren samen met een eenmalig wachtwoord (OTP) dat is ontvangen via een meldingsservice .”
Bovendien zijn de bestanden die als onderdeel van de phishing-aanvallen worden gedeeld, ingesteld op de ‘alleen-lezen’-modus, waardoor het niet mogelijk is om ingebedde URL’s in het bestand te downloaden en te detecteren.
Een ontvanger die probeert toegang te krijgen tot het gedeelde bestand wordt vervolgens gevraagd zijn identiteit te verifiëren door zijn e-mailadres en een eenmalig wachtwoord op te geven dat naar zijn e-mailaccount is verzonden.
Zodra ze met succes zijn geautoriseerd, krijgt het doel de opdracht om op een andere link te klikken om de daadwerkelijke inhoud te bekijken. Als ze dit doen, worden ze echter omgeleid naar een phishing-pagina van een tegenstander in het midden (AitM), die hun wachtwoord en tweefactorauthenticatietokens (2FA) steelt.
Hierdoor kunnen de bedreigingsactoren niet alleen de controle over het account overnemen, maar deze ook gebruiken om andere vormen van oplichting in stand te houden, waaronder BEC-aanvallen en financiële fraude.
“Hoewel deze campagnes generiek en opportunistisch van aard zijn, maken ze gebruik van geavanceerde technieken om social engineering uit te voeren, detectie te omzeilen en het bereik van bedreigingsactoren uit te breiden naar andere accounts en tenants”, aldus het Microsoft Threat Intelligence-team.
De ontwikkeling komt op het moment dat Sekoia een nieuwe AitM-phishing-kit heeft uitgewerkt, genaamd Mamba 2FA, die als phishing-as-a-service (PhaaS) wordt verkocht aan andere bedreigingsactoren om e-mailphishing-campagnes uit te voeren die HTML-bijlagen verspreiden die de inlogpagina’s van Microsoft 365 nabootsen.
De kit, die op abonnementsbasis wordt aangeboden voor $ 250 per maand, ondersteunt Microsoft Entra ID, AD FS, externe SSO-providers en consumentenaccounts. Mamba 2FA wordt sinds november 2023 actief in gebruik genomen.
“Het verwerkt tweestapsverificaties voor niet-phishing-resistente MFA-methoden zoals eenmalige codes en app-meldingen”, aldus het Franse cyberbeveiligingsbedrijf. “De gestolen inloggegevens en cookies worden via een Telegram-bot onmiddellijk naar de aanvaller gestuurd.”
