Tin tặc sử dụng thủ thuật đăng ký thiết bị để tấn công doanh nghiệp bằng lừa đảo bên

Lừa đảo bên

đã tiết lộ chi tiết về một chiến dịch lừa đảo nhiều giai đoạn, quy mô lớn sử dụng thông tin đăng nhập bị đánh cắp để đăng ký thiết bị trên mạng của nạn nhân nhằm phát tán thêm email rác và mở rộng phạm vi lây nhiễm.

Gã khổng lồ công nghệ cho biết các cuộc tấn công biểu hiện thông qua các tài khoản không được bảo mật bằng xác thực đa yếu tố (MFA), do đó khiến kẻ thù có thể lợi dụng chính sách mang thiết bị của riêng bạn (BYOD) của mục tiêu và giới thiệu thiết bị giả mạo sử dụng thông tin đăng nhập ăn cắp.

Các cuộc tấn công diễn ra trong hai giai đoạn. “Giai đoạn chiến dịch đầu tiên liên quan đến việc đánh cắp thông tin đăng nhập trong các tổ chức mục tiêu chủ yếu ở Úc, Singapore, Indonesia và Thái Lan”, Nhóm tình báo mối đe dọa của Microsoft 365 cho biết trong một báo cáo kỹ thuật được công bố trong tuần này.

“Thông tin đăng nhập bị đánh cắp sau đó được tận dụng trong giai đoạn thứ hai, trong đó những kẻ tấn công sử dụng các tài khoản bị xâm nhập để mở rộng chỗ đứng của chúng trong tổ chức thông qua lừa đảo bên cũng như bên ngoài mạng thông qua thư rác gửi đi.”

Chiến dịch bắt đầu với việc người dùng nhận được một chiêu dụ lừa đảo mang nhãn hiệu DocuSign có chứa một liên kết, khi nhấp vào, liên kết này đã chuyển hướng người nhận đến một trang web giả mạo làm trang đăng nhập cho Office 365 để lấy cắp thông tin đăng nhập.

Xem tiếp:   Eltima SDK chứa nhiều lỗ hổng ảnh hưởng đến một số nhà cung cấp dịch vụ đám mây

Việc đánh cắp thông tin xác thực không chỉ dẫn đến sự xâm phạm của hơn 100 hộp thư ở các công ty khác nhau mà còn cho phép những kẻ tấn công triển khai quy tắc hộp thư đến để ngăn chặn việc phát hiện. Tiếp theo là đợt tấn công thứ hai lạm dụng việc thiếu các biện pháp bảo vệ MFA để đăng ký một thiết bị Windows không được quản lý vào phiên bản Azure Active Directory (AD) của công ty và phát tán các thông báo độc hại.

Lừa đảo bên

Bằng cách kết nối thiết bị do kẻ tấn công điều khiển với mạng, kỹ thuật mới này đã làm cho nó trở nên khả thi trong việc mở rộng chỗ đứng của kẻ tấn công, ngấm ngầm gia tăng cuộc tấn công và di chuyển ngang qua mạng được nhắm mục tiêu.

Microsoft cho biết: “Để khởi động làn sóng thứ hai, những kẻ tấn công đã tận dụng hộp thư bị xâm nhập của người dùng mục tiêu để gửi tin nhắn độc hại tới hơn 8.500 người dùng, cả trong và ngoài tổ chức nạn nhân. “Các email đã sử dụng lời mời chia sẻ SharePoint làm nội dung thư nhằm thuyết phục người nhận rằng tệp ‘Payment.pdf' đang được chia sẻ là hợp pháp.”

này diễn ra khi các cuộc tấn công kỹ thuật xã hội dựa trên email tiếp tục là phương tiện chiếm ưu thế nhất để tấn công các doanh nghiệp nhằm đạt được mục nhập ban đầu và loại bỏ trên các hệ thống bị xâm nhập.

Xem tiếp:   Đã phát hiện ra lỗ hổng RCE nghiêm trọng giống như Log4Shell trong Bảng điều khiển cơ sở dữ liệu H2

Đầu tháng này, Netskope Threat Labs đã tiết lộ một chiến dịch độc hại được quy cho nhóm OceanLotus đã vượt qua các hoạt động phát hiện dựa trên chữ ký bằng cách sử dụng các loại tệp không chuẩn, chẳng hạn như tệp đính kèm tệp lưu trữ web (.MHT) để triển khai phần mềm độc hại đánh cắp thông tin.

Ngoài việc bật MFA, việc thực hiện các phương pháp hay nhất như vệ sinh thông tin xác thực tốt và phân đoạn mạng có thể “tăng ‘chi phí' cho những kẻ tấn công đang cố gắng tuyên truyền qua mạng.”

“Các phương pháp hay nhất này có thể hạn chế khả năng của kẻ tấn công di chuyển ngang và xâm nhập tài sản sau lần xâm nhập ban đầu và cần được bổ sung bằng các giải pháp bảo mật nâng cao cung cấp khả năng hiển thị trên các miền và điều phối dữ liệu về mối đe dọa trên các thành phần bảo vệ”, Microsoft nói thêm.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …