Office 365 Phishing Attack .

img_0236.jpg

Οι εισβολείς ελέγχουν τα διαπιστευτήρια του Office 365 των θυμάτων σε πραγματικό χρόνο καθώς πληκτρολογούνται στη σελίδα προορισμού ηλεκτρονικού ψαρέματος, χρησιμοποιώντας API ελέγχου ταυτότητας.

Οι ερευνητές αποκάλυψαν μια επίθεση ηλεκτρονικού ψαρέματος χρησιμοποιώντας μια νέα τεχνική: Οι εισβολείς χρησιμοποιούν API ελέγχου ταυτότητας για την επικύρωση των διαπιστευτηρίων του Office 365 των θυμάτων – σε πραγματικό χρόνο – καθώς τα εισάγουν στη σελίδα προορισμού.

Τα API ελέγχου ταυτότητας χρησιμοποιούνται από εφαρμογές και υπηρεσίες που εκτελούνται για λογαριασμό των χρηστών για πρόσβαση στα δεδομένα τους, δήλωσε ο Prashanth Arun, επικεφαλής της Επιστήμης δεδομένων στο Armorblox, στο Threatpost. Το Office 365 απαιτεί τις καταχωρίσεις εφαρμογών για τη χρήση API – αλλά οι εγγραφές απαιτούν μόνο μια διεύθυνση ηλεκτρονικού ταχυδρομείου, καθιστώντας τις απρόσκοπτες για να τις αξιοποιήσουν οι εισβολείς. Ορισμένες πρόσθετες ρυθμίσεις για την εφαρμογή απαιτούν επίσης από τους χρήστες να καθορίσουν έναν ιστότοπο για να «λάβουν» πληροφορίες ελέγχου ταυτότητας, πρόσθεσε ο Arun.

Σε μια επίθεση ηλεκτρονικού ψαρέματος που εντοπίστηκε πρόσφατα από ερευνητές, ο εισβολέας χρησιμοποίησε τα API ελέγχου ταυτότητας για να ελέγξει τα διαπιστευτήρια ενός ανώτερου στελέχους σε μια εταιρεία μεγάλων επιχειρήσεων με τον κατάλογο Azure Active του οργανισμού. Το Active Directory (AD) είναι η αποκλειστική υπηρεσία καταλόγου της Microsoft, η οποία επιτρέπει στους διαχειριστές να διαχειρίζονται δικαιώματα και πρόσβαση σε πόρους δικτύου. Τα API ελέγχου ταυτότητας χρησιμοποιούν το Azure AD για την παροχή υπηρεσιών ελέγχου ταυτότητας.

Στην επίθεση ηλεκτρονικού ψαρέματος, η πρόσβαση σε αυτό το άμεσο σχόλιο «επιτρέπει στον εισβολέα να ανταποκριθεί έξυπνα κατά τη διάρκεια της επίθεσης», ανέφεραν οι ερευνητές του Armorblox την Πέμπτη. «Ο εισβολέας γνωρίζει επίσης αμέσως ένα ζωντανό παραβιασμένο διαπιστευτήριο και του επιτρέπει δυνητικά να αγκαλιάσει τον παραβιασμένο λογαριασμό πριν από οποιαδήποτε αποκατάσταση».

Το ηλεκτρονικό μήνυμα ηλεκτρονικού “ψαρέματος”

Η επίθεση ανακαλύφθηκε για πρώτη φορά στοχεύοντας σε ένα ανώτερο στέλεχος σε μια ανώνυμη εταιρεία, την οποία οι ερευνητές λένε ότι είναι μια αμερικανική μάρκα που ονομάζεται μεταξύ των κορυφαίων 50 πιο καινοτόμων εταιρειών στον κόσμο το 2019. Το αρχικό μήνυμα ηλεκτρονικού ταχυδρομείου που στάλθηκε στον υπάλληλο είχε το θέμα “ACH Debit Report , Μιμείται μια εσωτερική αναφορά.

Σύμφωνα με ερευνητές, η στοχευμένη εταιρεία είχε αλλάξει πρόσφατα τομείς, οπότε η δημόσια διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου είναι διαφορετική από το όνομα τομέα που χρησιμοποιείται στα στοιχεία σύνδεσης του Active Directory. Οι επιτιθέμενοι γνώριζαν αυτήν την αλλαγή, οδηγώντας τους ερευνητές να πιστέψουν ότι η εκστρατεία ήταν πολύ στοχευμένη.

«Η περιορισμένη δραστηριότητα στον ιστότοπο που φιλοξενεί την επίθεση ηλεκτρονικού ψαρέματος (phishing) και ο προσεκτικός χρόνος του μηνύματος ηλεκτρονικού ταχυδρομείου σε ένα απόγευμα της Παρασκευής υποδηλώνουν επίσης ότι πρόκειται για μια προσεκτικά κατασκευασμένη επίθεση», ανέφεραν οι ερευνητές. «Οι εκτιμήσεις μας δείχνουν ότι έχουν πραγματοποιηθεί 120 περίεργες επισκέψεις σε αυτόν τον ιστότοπο παγκοσμίως από τις αρχές Ιουνίου.

Το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (phishing) είπε στα θύματα: «Βρείτε εσωκλειόμενη αναφορά εμβασμάτων πληρωμής» στις 7/11/2020 2:53:14 π.μ. Σας ευχαριστούμε για την επιχείρησή σας! »Και δείχνει ένα συνημμένο, το οποίο μοιάζει με αρχείο κειμένου.

«Το άνοιγμα του συνημμένου από το Office 365 σε ένα πρόγραμμα περιήγησης δείχνει έναν ιστότοπο όμοιο με τη σελίδα του Office 365. Το όνομα χρήστη έχει εισαχθεί εκ των προτέρων. Ένα μη τυπικό μήνυμα “Επειδή έχετε πρόσβαση σε ευαίσθητες πληροφορίες, πρέπει να επαληθεύσετε τον κωδικό πρόσβασής σας” σημειώνεται “, δήλωσαν οι ερευνητές.

Διαπιστευτικά διαπιστευτήρια

Μόλις τα θύματα εισήγαγαν τα διαπιστευτήριά τους στη σελίδα προορισμού του ηλεκτρονικού ψαρέματος, τα αρχεία καταγραφής σύνδεσης του Azure Active Directory εμφανίζουν μια άμεση προσπάθεια σύνδεσης που αντιστοιχεί σε αιτήματα XHR που εκτελούνται στην ιστοσελίδα του συνημμένου.

«Δεν υπάρχει ιδιαίτερη ευπάθεια που να το καθιστά δυνατό, είναι μια μοναδική υιοθέτηση API από τους αντιπάλους», τόνισε ο Arun σε ένα email στο Threatpost.

Εάν ο έλεγχος ταυτότητας είναι επιτυχής, ο χρήστης ανακατευθύνεται στο zoom.com. Ωστόσο, εάν ο έλεγχος ταυτότητας αποτύχει, ο χρήστης ανακατευθύνεται στο login.microsoftonline.com. Αυτός θα μπορούσε να είναι ένας τρόπος για να αποκρύψετε την επίθεση ηλεκτρονικού ψαρέματος ως ένα άλλο αποτυχημένο σημάδι κατά την προσπάθεια στην πύλη του Office 365, ανέφεραν οι ερευνητές. Εάν το κείμενο του κωδικού πρόσβασης είναι κενό ή πολύ μικρό, ο χρήστης αναγκάζεται να προσπαθήσει ξανά.

«Οι ερευνητές απειλής μας επαλήθευσαν τη φύση του ιστότοπου σε πραγματικό χρόνο ενημερώνοντας το σενάριο με δοκιμαστική σύνδεση και πλαστό κωδικό πρόσβασης και είδαν μια αποτυχημένη προσπάθεια σύνδεσης από την Provo, Utah στην πύλη εισόδου του Azure Active Directory», δήλωσαν οι ερευνητές. “Όπως αναμενόταν, η διεύθυνση IP (162.241.120.106) που επιχείρησε τη σύνδεση είναι το ίδιο τελικό σημείο που το σενάριο ηλεκτρονικού ψαρέματος στέλνει τα διαπιστευτήρια.”

Μετά από περαιτέρω έρευνα, οι ερευνητές διαπίστωσαν ότι η υπηρεσία ιστού πίσω από τη σελίδα ηλεκτρονικού ψαρέματος διαπιστευτηρίου φιλοξενείται στο teenagemoglen [.] Com, η οποία είναι εγγεγραμμένη στο Alibaba.com σε καταχωρητή τομέα της Σιγκαπούρης από τα τέλη Μαΐου 2020.

«Ο ιστότοπος φιλοξενείται από την UnifiedLayer, μια εταιρεία φιλοξενίας που εδρεύει από την Ινδία, σε ένα κέντρο δεδομένων στο Provo της Γιούτα, Ηνωμένες Πολιτείες», δήλωσαν. «Ο ιστότοπος φαίνεται να φιλοξενεί ιστοσελίδες που έχουν αντιγραφεί από άλλον ιστότοπο. Κανένας από τους συνδέσμους που επιτρέπουν την ενεργή αφοσίωση με έναν επισκέπτη δεν φαίνεται να είναι ενεργός. “

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest