Různá cloudová infrastruktura byla použita k phishingu e-mailových pověření, sledování a předávání zpráv souvisejících s financemi a automatizaci operací.
Lovci hrozeb ve společnosti Microsoft nedávno odhalili a narušili infrastrukturu, která poháněla rozsáhlou kampaň zaměřenou na narušení obchodních e-mailů (BEC). Infrastruktura byla hostována na několika cloudových platformách, což jí umožňovalo zůstat po nějakou dobu pod radarem.
„Útočníci prováděli diskrétní činnosti pro různé IP adresy a časové rámce, což výzkumníkům ztížilo korelaci zdánlivě nesourodých činností jako jednu operaci,“ uvedli v příspěvku vědci z Microsoft 365 Defender.
V kampani napadli útočníci kompromitované poštovní schránky, které nejsou chráněny vícefaktorovým ověřováním (MFA) prostřednictvím pokusů o phishing přihlašovacích údajů, a poté přidali pravidla předávání, která směrovala vybrané příchozí zprávy do jejich vlastních poštovních schránek. To umožnilo útočníkům sledovat e-maily o finančních transakcích, které pak mohli použít k dalšímu úsilí o krádež finančních prostředků.
„Naše analýza ukazuje, že krátce před vytvořením pravidel pro přeposílání obdržely poštovní schránky phishingový e-mail s typickou návnadou hlasové zprávy a přílohou HTML,“ uvedli vědci. „E-maily pocházely z adresního prostoru externího poskytovatele cloudu.“
Příloha HTML obsahovala JavaScript, který dynamicky dekódoval napodobeninu přihlašovací stránky Microsoftu, přičemž uživatelské jméno bylo již vyplněno, která uživatele žádala o zadání hesla. Po zadání na pozadí JavaScript předal pověření útočníkům prostřednictvím přesměrovače, který je také hostován externím poskytovatelem cloudu.
Celkově vědci pozorovali stovky napadených poštovních schránek v různých organizacích. Obecně byla implementována pravidla pro přeposílání, která uváděla, že pokud tělo zprávy obsahuje slova „faktura“, „platba“ nebo „výpis“, přepošle e-mail na jednu ze dvou adres (ex @ exdigy [.] Net nebo v @ jetclubs [.] biz). Útočníci také přidali pravidla pro mazání přeposílaných e-mailů z pošty k odeslání, aby zůstali nezjištěni.
Více zde: threatpost.com