Изследователи на Microsoft Defender разкриха сложна Adversary-in-the-Middle (AiTM) фишинг кампания, насочена към организации в енергийния сектор чрез злоупотреба с Microsoft SharePoint услуги за споделяне на файлове. Многостъпковата атака компрометира множество потребителски акаунти и се е развила в широкообхватни BEC операции (Business Email Compromise) в няколко организации.
Начален компромис чрез доверен доставчик
Атаката започва с фишинг имейли, изпратени от компрометиран акаунт на доверен доставчик. Зловредните съобщения съдържат SharePoint URL адреси, изискващи автентикация, което имитира легитимни процеси за споделяне на документи и избягва подозрение.
Използване на доверие към Microsoft услуги
Атакуващите се възползват от широката употреба на SharePoint и OneDrive, които често преминават покрай стандартни филтри за сигурност на електронната поща в корпоративни среди.
След клик върху зловредните SharePoint линкове и въвеждане на идентификационни данни на фалшиви страници, атакуващите получават пълен достъп до сесията на потребителя.
Стелт тактики и разширяване на атаката
Веднага след компромиса:
-
Създават се inbox правила за изтриване на входящи съобщения и маркиране като прочетени.
-
Това предотвратява откриване на подозрителна активност и спира автоматични уведомления.
След това атакуващите изпращат над 600 фишинг имейла към контакти в и извън засегнатата организация, използвайки информация от компрометирани входящи кутии.
Допълнителни техники:
-
Изтриване на недоставени и автоматични „out-of-office“ отговори.
-
Отговаряне на запитвания чрез компрометирани акаунти, за да се създаде впечатление за легитимност.
-
Изтриване на разговори, за да се запази продължителен достъп без известие за жертвата.
Обширност на кампанията
Microsoft Defender идентифицира допълнителни компрометирани акаунти чрез анализ на IP адреси и модели на влизане, разкривайки широк обхват на кампанията в няколко организации от енергийния сектор.
Мерки за възстановяване
Само смяна на парола не е достатъчна за премахване на AiTM компромис:
-
Необходимо е да се анулират активните сесийни cookies.
-
Да се премахнат всички attacker-created inbox правила.
-
Да се нулират настройки на MFA, ако са били модифицирани от атакуващите.
Атакуващите могат да запазят достъп чрез откраднати сесийни cookies дори след смяна на парола, включително чрез регистриране на алтернативни MFA методи с контролирани от тях телефонни номера.
Препоръки за защита
-
Условия за достъп (Conditional Access) за оценка на заявки за вход спрямо IP, устройство и група.
-
Continuous Access Evaluation и Security Defaults в Azure Active Directory.
-
Използване на Microsoft Defender XDR за откриване на подозрителни действия, включително многократни опити за вход и зловредни inbox правила.
Индикатори за компрометиране (IOCs)
| Тип | Стойност | Контекст |
|---|---|---|
| Attacker IP | 178.130.46.8 | Инфраструктура на атакуващия |
| Attacker IP | 193.36.221.10 | Инфраструктура на атакуващия |
Организациите в енергийния сектор трябва незабавно да извършат търсене в логовете на автентикация за тези IP адреси и да разследват свързаните опити за влизане.
AiTM фишинг кампанията показва, че дори доверени корпоративни платформи като SharePoint и OneDrive могат да бъдат използвани за сложни атаки. Защитата изисква комбинация от многостепенни политики за достъп, мониторинг на активността и използване на разширени антифишинг решения. Само смяна на парола не е достатъчна; необходим е цялостен подход за възстановяване и превенция.
