ФБР попередило про новий набір інструментів “Фішинг як сервіс” (Phishing-as-a-Service, PhaaS), який націлений на облікові записи Microsoft 365 у рамках складної, але легкодоступної кампанії.
Читайте также: Огляд TWS-навушників Sony WF-1000XM6: новий король шумозаглушення?
Сервіс Kali365 PhaaS дозволяє хакерам отримувати постійний доступ до середовищ Microsoft 365 шляхом крадіжки токенів OAuth за допомогою фішингових листів, створених штучним інтелектом, які спрямовують користувачів на легітимні сторінки перевірки Microsoft. Щойно зловмисник отримує токен OAuth, він може отримати доступ до сервісів Outlook, Teams та OneDrive без необхідності проходити будь-які додаткові механізми перевірки або автентифікації.
“Платформи “Фішинг як сервіс” (PaaS), такі як Kali365, стають дедалі поширенішими, що перетворює хакерство на висококомерціалізований бізнес за підпискою. Це означає, що зловмисники тепер можуть використовувати ці готові набори замість того, щоб створювати інфраструктуру з нуля, що значно знижує поріг входження”, — каже Дебора Галеа (Deborah Galea), експертка з кібербезпеки у Filigran.
Подібні фішингові кампанії покладаються на людську помилку для зламу облікових записів, але, на щастя, є кілька кроків, які можна зробити, щоб убезпечити облікові записи та ширші середовища Microsoft 365. Ось 3 способи, за допомогою яких можна захистити себе від кампанії Kali365 PhaaS.
Фішингова пильність
Фішингові листи бувають різних форматів. Це можуть бути запрошення на співбесіду, запити на доступ до документів і все, що завгодно між цим. Хакери використовують інструменти ШІ для створення надзвичайно переконливих фішингових листів, які можуть оминати фільтри виявлення спаму та змішуватися зі звичайним поштовим трафіком.
“Kali365 є особливо небезпечним, оскільки він обходить багатофакторну автентифікацію (MFA) без крадіжки облікових даних і дозволяє хакерам захоплювати облікові записи Microsoft 365. Ми радимо компаніям впроваджувати превентивні заходи, такі як обмеження потоку коду пристрою, блокування передачі автентифікації та впровадження стійкої до фішингу MFA”, — зауважує Галеа.
IT-адміністраторам слід звертати увагу на останні вказівки, що надходять з каналів розвідки загроз, щодо тенденцій фішингових листів та поточних кампаній. Крім того, персонал можна навчити виявляти фішингові листи та повідомляти про них за допомогою регулярних симуляцій, які імітують реальні тактики, техніки та процедури (TTPs), що використовуються хакерами. Користувачі також повинні зберігати пильність щодо несподіваних запитів на автентифікацію облікового запису Microsoft, особливо коли користувач не намагався увійти в систему.
Політики умовного доступу (Conditional Access Policies)
ФБР рекомендує ввімкнути політики умовного доступу, які блокують потік коду пристрою (device code flow) для всіх користувачів. Блокування потоку коду пристрою заважає роботі основного механізму перехоплення коду Kali365 OAuth. У робочому процесі атаки Kali365 хакер надсилає заздалегідь згенерований код пристрою зі свого пристрою разом із легітимною сторінкою перевірки Microsoft.
Читайте также: Новий Galaxy Z Fold 8 засвітився на живих фото і відео: Samsung готує найтоншу “розкладачку” в
“Попередження ФБР щодо Kali365 підтверджує тенденцію, яку ми спостерігаємо в корпоративних середовищах Microsoft 365 уже місяцями. Зловмисники більше не зламують Microsoft 365, вони входять у систему, використовуючи функції, які Microsoft створила для легітимних цілей. Потік коду пристрою існує не просто так, саме так розумні телевізори та пристрої IoT підключають вас до вашого облікового запису. Зловмисники просто зрозуміли, що це чудовий примітив для фішингу, оскільки саме користувач натискає “схвалити” на справжній сторінці Microsoft. MFA не може врятувати вас від процесу, де користувач сам проходить MFA”, — говорить Андреа Сівієрі (Andrea Sivieri), головний директор з продуктів та технологій у CoreView.
Код, надісланий зловмисником, потім вводиться жертвою на сторінці автентифікації, що авторизує вхід зловмисника в обліковий запис жертви. Потім зловмисник викрадає токени доступу та оновлення OAuth (access and refresh tokens), щоб отримати доступ до Outlook, Teams та OneDrive без потреби в паролі чи автентифікації.
“Прикра частина полягає в тому, що головна рекомендація ФБР — блокування потоку коду пристрою за допомогою політики умовного доступу — це те, що будь-який адміністратор Microsoft 365 міг би ввімкнути сьогодні по обіді. Причина, чому більшість організацій цього не зробили, полягає в тому, що умовний доступ у реальному корпоративному середовищі — це хаотичне розростання політик, які редагувалися двадцятьма різними людьми протягом п’яти років. Ніхто до кінця не впевнений, що саме зламається, якщо заблокувати один потік. Тому політика залишається відкритою, а зловмисники продовжують свій бізнес”, — зазначив Сівієрі.
Завдяки блокуванню цього методу автентифікації, навіть якщо жертва попадеться на фішинговий лист і введе код, вхід зловмисника зазнає невдачі. Але перед застосуванням універсального блокування потоку коду пристрою обов’язково проведіть аудит поточного використання, щоб визначити, де автентифікація за допомогою потоку коду пристрою використовується легітимно. Блокування легітимного використання за певних обставин може порушити повсякденну діяльність.
Блокування політик передачі автентифікації (Block Authentication Transfer Policies)
Щоб полегшити життя користувачам 365, Microsoft додала функцію, яка дозволяє користувачеві використовувати довірений пристрій для сканування QR-коду, що відображається на іншому пристрої, для автентифікації входу. Проте, ця зручна функція полегшує зловмисникам автентифікацію власного доступу до облікового запису жертви після того, як вони викрали токени OAuth.
“Тут є важливіший урок для будь-якої організації, яка веде свій бізнес на Microsoft 365. Наступний злам у великій компанії почнеться не з того, що хакер використає вразливість. Він почнеться з того, що співробітника дуже ввічливо попросять виконати легітимну дію всередині легітимного продукту Microsoft. Захист — це не кращі технології, це видимість у реальному часі того, що насправді змінюється всередині корпоративного середовища, та дисципліна переглядати політики безпеки, які непомітно застарівають”, — додає Сівієрі.
Отримавши доступ до облікового запису жертви, зловмисник може використовувати свій новий “довірений” пристрій для автентифікації власних запитів на доступ до облікового запису. Блокування політик передачі автентифікації не лише зупиняє зловмисників від автентифікації власних сесій, але й може допомогти запобігти входу співробітників з некерованих особистих пристроїв, що може поставити під загрозу дані компанії.
Читайте также: Qualcomm і Acer атакують MacBook Neo знизу: Aspire Go 15 на Snapdragon C іде від $300
Джерело: TechRadar
