IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Společnost Microsoft narušila rozsáhlou cloudovou BEC kampaň

Microsoft BEC kampaň

Různá cloudová infrastruktura byla použita k phishingu e-mailových pověření, sledování a předávání zpráv souvisejících s financemi a automatizaci operací.

Lovci hrozeb ve společnosti Microsoft nedávno odhalili a narušili infrastrukturu, která poháněla rozsáhlou kampaň zaměřenou na narušení obchodních e-mailů (BEC). Infrastruktura byla hostována na několika cloudových platformách, což jí umožňovalo zůstat po nějakou dobu pod radarem.

„Útočníci prováděli diskrétní činnosti pro různé IP adresy a časové rámce, což výzkumníkům ztížilo korelaci zdánlivě nesourodých činností jako jednu operaci,“ uvedli v příspěvku vědci z Microsoft 365 Defender.

V kampani napadli útočníci kompromitované poštovní schránky, které nejsou chráněny vícefaktorovým ověřováním (MFA) prostřednictvím pokusů o phishing přihlašovacích údajů, a poté přidali pravidla předávání, která směrovala vybrané příchozí zprávy do jejich vlastních poštovních schránek. To umožnilo útočníkům sledovat e-maily o finančních transakcích, které pak mohli použít k dalšímu úsilí o krádež finančních prostředků.

„Naše analýza ukazuje, že krátce před vytvořením pravidel pro přeposílání obdržely poštovní schránky phishingový e-mail s typickou návnadou hlasové zprávy a přílohou HTML,“ uvedli vědci. „E-maily pocházely z adresního prostoru externího poskytovatele cloudu.“

Příloha HTML obsahovala JavaScript, který dynamicky dekódoval napodobeninu přihlašovací stránky Microsoftu, přičemž uživatelské jméno bylo již vyplněno, která uživatele žádala o zadání hesla. Po zadání na pozadí JavaScript předal pověření útočníkům prostřednictvím přesměrovače, který je také hostován externím poskytovatelem cloudu.

Celkově vědci pozorovali stovky napadených poštovních schránek v různých organizacích. Obecně byla implementována pravidla pro přeposílání, která uváděla, že pokud tělo zprávy obsahuje slova „faktura“, „platba“ nebo „výpis“, přepošle e-mail na jednu ze dvou adres (ex @ exdigy [.] Net nebo v @ jetclubs [.] biz). Útočníci také přidali pravidla pro mazání přeposílaných e-mailů z pošty k odeslání, aby zůstali nezjištěni.

Více zde: threatpost.com