Microsoft heeft gewaarschuwd voor een uit meerdere fasen bestaande phishing- en zakelijke e-mailcompromiscampagne (AitM) die zich richt op meerdere organisaties in de energiesector.
“De campagne maakte misbruik van SharePoint-services voor het delen van bestanden om phishing-payloads te leveren en vertrouwde op het maken van inbox-regels om de persistentie te behouden en het gebruikersbewustzijn te omzeilen”, aldus het Microsoft Defender Security Research Team. “De aanval ging over in een reeks AitM-aanvallen en daaropvolgende BEC-activiteiten verspreid over meerdere organisaties.”
Als onderdeel van post-exploitatieactiviteiten na een aanvankelijke compromittering is gebleken dat de onbekende aanvallers de vertrouwde interne identiteiten van het slachtoffer kunnen gebruiken om grootschalige intra-organisatorische en externe phishing uit te voeren in een poging een breed netwerk uit te werpen en de reikwijdte van de campagne te vergroten.
Het startpunt van de aanval is een phishing-e-mail die waarschijnlijk is verzonden vanaf een e-mailadres van een vertrouwde organisatie en die vooraf is gecompromitteerd. Door misbruik te maken van dit legitieme kanaal, stuurden de bedreigingsactoren berichten uit die zich voordeden als workflows voor het delen van SharePoint-documenten om het een laagje geloofwaardigheid te geven en ontvangers te misleiden om op phishing-URL’s te klikken.
Omdat diensten als SharePoint en OneDrive op grote schaal worden gebruikt in bedrijfsomgevingen en de e-mails afkomstig zijn van een legitiem adres, is het onwaarschijnlijk dat ze argwaan wekken, waardoor kwaadwillenden phishing-links kunnen versturen of kwaadaardige ladingen kunnen opzetten. Deze aanpak wordt ook wel living-off-trusted-sites (LOTS) genoemd, omdat het de bekendheid en alomtegenwoordigheid van dergelijke platforms bewapent om op e-mail gerichte detectiemechanismen te ondermijnen.
De URL leidt gebruikers op zijn beurt door naar een valse identificatieprompt om het vermeende document te bekijken. Gewapend met toegang tot het account met behulp van de gestolen inloggegevens en de sessiecookie, creëren de aanvallers inboxregels om alle inkomende e-mails te verwijderen en alle e-mails als gelezen te markeren. Als deze basis aanwezig is, wordt de gecompromitteerde inbox gebruikt om phishing-berichten te verzenden die een valse URL bevatten die is ontworpen om diefstal van inloggegevens uit te voeren met behulp van een AitM-aanval.
In één geval zei Microsoft dat de aanvaller een grootschalige phishing-campagne startte met meer dan 600 e-mails die naar de contacten van de getroffen gebruiker werden verzonden, zowel binnen als buiten de organisatie. Er is ook waargenomen dat de dreigingsactoren stappen ondernemen om niet-bezorgde e-mails en e-mails die niet op kantoor zijn te verwijderen, en de ontvangers van berichten te verzekeren van de authenticiteit van de e-mail als ze enige bezorgdheid uiten. Vervolgens wordt de correspondentie uit de mailbox verwijderd.
“Deze technieken zijn gebruikelijk bij alle BEC-aanvallen en zijn bedoeld om het slachtoffer onbewust te houden van de activiteiten van de aanvaller, waardoor de doorzettingsvermogen wordt bevorderd”, aldus de Windows-maker.
Microsoft zei dat de aanval de “operationele complexiteit” van AitM benadrukt, waarbij wordt gesteld dat het opnieuw instellen van wachtwoorden alleen de dreiging niet kan verhelpen, omdat getroffen organisaties ervoor moeten zorgen dat ze actieve sessiecookies hebben ingetrokken en door de aanvaller gemaakte inboxregels hebben verwijderd die worden gebruikt om detectie te omzeilen.
Daartoe merkte het bedrijf op dat het samenwerkte met klanten om de wijzigingen in multi-factor authenticatie (MFA) die de aanvaller op de accounts van de gecompromitteerde gebruiker had aangebracht, in te trekken en verdachte regels te verwijderen die voor die accounts waren gemaakt. Het is momenteel niet bekend hoeveel organisaties zijn gecompromitteerd en of dit het werk is van een bekende cybercriminaliteitsgroep.
Organisaties wordt geadviseerd om samen te werken met hun identiteitsprovider om ervoor te zorgen dat beveiligingscontroles zoals phishing-resistente MFA aanwezig zijn, beleid voor voorwaardelijke toegang mogelijk maken, continue toegangsevaluatie implementeren en antiphishing-oplossingen gebruiken die inkomende e-mails en bezochte websites monitoren en scannen.
De door Microsoft geschetste aanval benadrukt de aanhoudende trend onder bedreigingsactoren om vertrouwde diensten zoals Google Drive, Amazon Web Services (AWS) en de Confluence-wiki van Atlassian te misbruiken om door te verwijzen naar sites voor het verzamelen van inloggegevens en het opzetten van malware. Dit elimineert de noodzaak voor aanvallers om hun eigen infrastructuur uit te bouwen en zorgt ervoor dat kwaadaardige activiteiten legitiem lijken.
De onthulling komt omdat Okta, een aanbieder van identiteitsdiensten, zei dat het aangepaste phishing-kits heeft gedetecteerd die specifiek zijn ontworpen voor gebruik in voice phishing-campagnes (ook wel vishing-campagnes genoemd) gericht op Google, Microsoft, Okta en een breed scala aan cryptocurrency-platforms. In deze campagnes belt de tegenstander, die zich voordoet als technisch ondersteuningspersoneel, potentiële doelwitten via een vervalste ondersteuningshotline of een bedrijfstelefoonnummer.
De aanvallen zijn bedoeld om gebruikers ertoe te verleiden een kwaadaardige URL te bezoeken en hun inloggegevens over te dragen, die vervolgens in realtime via een Telegram-kanaal aan de bedreigingsactoren worden doorgegeven, waardoor ze ongeautoriseerde toegang tot hun accounts krijgen. De social engineering-inspanningen zijn goed gepland, waarbij de aanvallers verkenningen uitvoeren op de doelen en aangepaste phishing-pagina’s maken.
De kits, die op een as-a-service-basis worden verkocht, zijn uitgerust met scripts aan de clientzijde die het voor bedreigingsactoren mogelijk maken om de authenticatiestroom in de browser van een beoogde gebruiker in realtime te controleren, omdat ze mondelinge instructies geven en hen overtuigen om acties te ondernemen (bijvoorbeeld pushmeldingen goedkeuren of eenmalige wachtwoorden invoeren) die zouden leiden tot een MFA-bypass.
“Met behulp van deze kits kan een aanvaller aan de telefoon met een beoogde gebruiker de authenticatiestroom controleren terwijl die gebruiker interageert met phishing-pagina’s met inloggegevens”, zegt Moussa Diallo, bedreigingsonderzoeker bij Okta Threat Intelligence. “Ze kunnen bepalen welke pagina’s het doelwit in hun browser ziet, in perfecte synchronisatie met de instructies die ze tijdens het gesprek geven. De bedreigingsacteur kan deze synchronisatie gebruiken om elke vorm van MFA te verslaan die niet phishing-bestendig is.”
De afgelopen weken hebben phishing-campagnes misbruik gemaakt van basisauthenticatie-URL’s (dwz “gebruikersnaam:wachtwoord@domein(.)com”) door een vertrouwd domein in het gebruikersnaamveld te plaatsen, gevolgd door een @-symbool en het daadwerkelijke kwaadaardige domein om het slachtoffer visueel te misleiden.
“Wanneer een gebruiker een URL ziet die begint met een bekend en vertrouwd domein, kunnen ze ervan uitgaan dat de link legitiem is en veilig om op te klikken”, aldus Netcraft. “De browser interpreteert echter alles vóór het @-symbool als authenticatiereferenties, niet als onderdeel van de bestemming. Het echte domein, of het domein waarmee de browser verbinding maakt, wordt na het @-symbool opgenomen.”
Andere campagnes hebben hun toevlucht genomen tot eenvoudige visuele misleidingstrucs, zoals het gebruik van “rn” in plaats van “m” om kwaadaardige domeinen te verbergen en slachtoffers te misleiden door te denken dat ze een legitiem domein bezoeken dat geassocieerd is met bedrijven als Microsoft (“rnicrosoft(.)com”), Mastercard (“rnastercard(.)de”), Marriott (“rnarriotthotels(.)com”) en Mitsubishi (“rnitsubishielectric(.)com”). Dit wordt een homogliefaanval genoemd.
“Hoewel aanvallers zich voor deze techniek vaak richten op merken die met de letter M beginnen, komen enkele van de meest overtuigende domeinen voort uit het verwisselen van een interne ‘m’ met ‘rn’ in woorden”, zegt Ivan Khamenka van Netcraft. “Deze techniek wordt nog gevaarlijker als deze voorkomt in woorden die organisaties vaak gebruiken als onderdeel van hun merk, subdomeinen of service-ID’s. Termen als e-mail, bericht, lid, bevestiging en communicatie bevatten allemaal middenwoorden die gebruikers nauwelijks verwerken.”
