Кіберзлочинці все частіше використовують багатофакторну автентифікацію (MFA) для викрадення облікових записів керівників. Це з’ясували експерти з IT-безпеки компанії Proofpoint. Вони помітили збільшення більш ніж на 100 відсотків за останні шість місяців у інцидентах, коли кіберзлочинці могли отримати доступ до хмарних облікових записів керівників високого рівня великих компаній.
Постраждали понад 100 компаній у всьому світі із загальною чисельністю понад 1,5 мільйона співробітників. Для своїх атак злочинці використовували EvilProxy. Це фішинговий інструмент із архітектурою зворотного проксі-сервера, який дозволяє зловмисникам викрадати захищені MFA облікові дані та файли cookie сеансу.
Зловмисники обходять захист MFA
🔎 Прозорий зворотний проксі AitM: ось як зловмисники обходять захист MFA: фішингове посилання веде на підроблену сторінку входу, на якій користувач передає правильний код MFA (Зображення: Proofpoint)
Експерти Proofpoint оцінюють ці нові атаки: «Кіберзлочинці дуже люблять облікові дані співробітників: вони можуть надати доступ до цінної або конфіденційної інформації компанії та облікових записів користувачів. Хоча облікові дані зазвичай пропонують різні вектори атак, не всі облікові дані однаково цінні. Дослідження показують, що злочинці часто націлюються на конкретні функції чи відділи. Роблячи це, їм доводиться постійно вдосконалювати свої методи та техніки, наприклад, щоб скасувати багатофакторну автентифікацію.
Всупереч поширеній думці, MFA не є панацеєю від складних хмарних атак. Потрапивши всередину, зловмисники можуть непомітно ховатися навколо організації та здійснювати складні атаки за бажанням. Готові набори для обходу фішингу MFA тепер є всюдисущими, дозволяючи навіть нетехнічним злочинцям запустити фішингову кампанію та обманом змусити співробітників надати облікові дані свого облікового запису».
Зловживання зворотним проксі
Зростаюче використання MFA призвело до поширення наборів та інструментів для фішингу, які допомагають обійти цей рівень безпеки. Кіберзлочинці все частіше використовують фішингові набори Adversary-in-the-Middle (AitM), такі як EvilProxy, для викрадення облікових даних і файлів cookie сеансу в режимі реального часу.
Ефективність EvilProxy як інструменту фішингу добре відома. Однак експерти Proofpoint виявили тривожну прогалину в усвідомленні керівниками ІТ-безпеки ризиків і потенційних наслідків, таких як компрометація бізнес-електронної пошти (BEC) і захоплення облікового запису (ATO).
Фаза 1: Фішинг за допомогою EvilProxy
🔎 Ланцюг атаки на всіх окремих етапах (Зображення: Proofpoint).
З початку березня спеціалісти Proofpoint відстежують кампанію з використанням EvilProxy для атаки на тисячі облікових записів користувачів Microsoft 365. Загальний обсяг цієї кампанії вражає: у період з березня по червень 2023 року приблизно 120.000 XNUMX фішингових електронних листів було надіслано сотням цільових організацій по всьому світу.
На етапі фішингової атаки зловмисники використовували три основні прийоми:
- Видача себе за бренд: відправники видають себе за надійні служби та програми, напр. B. Concur Solutions, DocuSign і Adobe.
- Блокування сканування: зловмисники використовували захист від скануючих ботів кібербезпеки, щоб ускладнити рішенням безпеки аналіз їхніх шкідливих веб-сайтів.
- Багатоетапний ланцюжок зараження: зловмисники перенаправляють трафік через відкрито доступні законні перенаправлення.
Щоб приховати свої електронні листи від інструментів автоматичного сканування, зловмисники використовують спеціальне кодування електронної пошти та використовують законні веб-сайти, які були зламані, щоб завантажити їхній код PHP і розшифрувати адресу електронної пошти певного користувача.
Етап 2: зламаний обліковий запис
Список цільових користувачів включає багато цілей високого рівня, напр. B. Керуючі директори, корпоративні директори, керівники C-рівня та віце-президенти провідних компаній. Ці люди особливо цінуються злочинцями, оскільки вони потенційно мають доступ до конфіденційних даних і активів. З сотень скомпрометованих користувачів приблизно 39 відсотків були співробітниками вищого керівництва («рівень C»), у тому числі 17 відсотків фінансових директорів і 9 відсотків президентів і генеральних директорів. Зловмисники також виявляють інтерес до керівництва нижчого рівня, зосереджуючи свої зусилля на співробітниках, які мають доступ до активів або конфіденційної інформації.
Фаза 3: Жорстоке поводження після компромісу
Коли зловмисники отримують доступ до облікового запису жертви, вони потрапляють у хмарне середовище жертви. Кілька разів зловмисники використовували рідну програму Microsoft 365 для виконання маніпуляцій MFA. Використовуючи «Мої входи», зловмисники змогли додати власний метод багатофакторної автентифікації, забезпечуючи постійний доступ до скомпрометованих облікових записів користувачів. Вони віддають перевагу методу через додаток автентифікації з повідомленням і кодом.
Більше на Proofpoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.