Кампания за фишинг се възползва от услугата Microsoft Active Directory Federation Services (ADFS), за да заобиколи многофакторното удостоверяване (MFA) и да завладее потребителски акаунти, което позволява на заплахите да извършват по-нататъшни злонамерени действия в мрежи, които зависят от услугата за удостоверяване на еднократна регистрация (SSO).
Изследователи от Abnormal Security откриха кампанията, която е насочена към около 150 организации – предимно в образователния сектор – които разчитат на ADFS за удостоверяване в множество локални и облачни системи.
Кампанията използва подправени имейли, които насочват хората към фалшиви страници за влизане в Microsoft ADFS, които са персонализирани за конкретната MFA настройка, използвана от целта. След като жертвата въведе идентификационни данни и код за MFA, нападателите поемат акаунтите и могат да преминат към други услуги чрез функцията SSO. Изглежда, че те извършват редица дейности след компрометирането, включително разузнаване, създаване на правила за филтриране на пощата с цел прихващане на комуникации и страничен фишинг, насочен към други потребители в организацията.
Насочването към наследената SSO функция в ADFS, функция, която е „удобна за корпоративните потребители“, може да донесе големи дивиденти, отбелязва Джим Рут, главен директор по доверието във фирмата за сигурност Saviynt. Първоначално функцията е била предназначена за използване зад защитна стена, но сега е по-изложена на риск, защото все по-често се прилага в облачни услуги, въпреки че никога не е била проектирана за това, отбелязва той.
Нападателите в кампанията подменят страниците за влизане в ADFS на Microsoft, за да събират потребителските данни и да заобикалят MFA по начин, който според един дългогодишен специалист по сигурността не е виждал досега.
„За първи път чета за фалшиви страници за вход в ADFS“, отбелязва Роджър Граймс, евангелист по защита, базирана на данни, във фирмата за сигурност KnowBe4.
Примамки за кражба на удостоверения от help desk-a
Целите на кампанията получават имейли, които са проектирани да изглеждат като известия от ИТ help desk-a
на организацията – широко използван фишинг трик – със съобщение, което информира получателя за спешна или важна актуализация, която изисква незабавното му внимание. Съобщението ги приканва да използват предоставената връзка, за да започнат исканото действие, като например да приемат ревизирана политика или да завършат обновяване на системата.
Все пак имейлите включват различни характеристики, които ги правят да изглеждат убедителни, включително подправени адреси на подателя, които изглеждат така, сякаш произхождат от доверени структури, измамни страници за вход, които имитират легитимна марка, и злонамерени връзки, които имитират структурата на легитимните връзки на ADFS, отбелязват изследователите.
„В тази кампания нападателите използват надеждната среда и познатия дизайн на страниците за влизане в ADFS, за да подмамят потребителите да предоставят своите идентификационни данни и данни за удостоверяване с втори фактор“, се казва в доклада.
Насочване към наследени потребители
Въпреки че кампанията е насочена към различни индустрии, организациите, които понасят основната тежест на атаките – повече от 50% – са училища, университети и други образователни институции, твърдят изследователите. „Това подчертава предпочитанията на нападателите към среди с голям брой потребители, наследени системи, по-малък брой служители по сигурността и често по-слабо развити защити за киберсигурност“, се казва в доклада.
Други сектори, към които е насочена кампанията и които също отразяват това предпочитание, включват, по реда на честотата на атаките: здравеопазване, правителство, технологии, транспорт, автомобилостроене и производство.
Всъщност, въпреки че Microsoft и Abnormal Security препоръчват на организациите да преминат към нейната модерна платформа за идентификация, Entra, за удостоверяване, много организации с по-малко усъвършенствани ИТ отдели все още зависят от ADFS и по този начин остават уязвими, отбелязват изследователите.
„Тази зависимост е особено разпространена в сектори с по-бавни цикли на приемане на технологиите или наследени инфраструктурни зависимости – което ги прави основни цели за събиране на удостоверения и превземане на акаунти“, се казва в доклада.
Въпреки това, дори ако дадена организация все още използва ADFS, тя може да предприеме стъпки за защита, казва Граймс. Той например препоръчва на всички потребители да използват „устойчив на фишинг MFA“, когато могат.
Други смекчаващи мерки, препоръчани от изследователите, включват обучение на потребителите за съвременните техники за фишинг и психологически тактики на атакуващите, както и използване на усъвършенствани технологии за филтриране на електронна поща, откриване на аномалии и мониторинг на поведението за идентифициране и смекчаване на фишинг атаките и ранно откриване на компрометирани акаунти.
