"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint
Onderzoekers van cybersecuritybedrijf Proofpoint zien een aanhoudende cloudaccount overnamecampagne. De campagne beïnvloedt tientallen Microsoft Azure-omgevingen en honderden gebruikersaccounts. Ook brengt de campagne accounts van senior executives in gevaar.
De campagne
Onderzoekers van Proofpoint ontdekten eind november 2023 een nieuwe, kwaadaardige campagne die credential phishing en Account Take Over (ATO) technieken uit de cloud integreert. Dreigingsactoren van deze, nog steeds actieve, campagne, richten zich op gebruikers met individuele phishing-lokmiddelen via gedeelde documenten. Bijvoorbeeld via ingesloten koppelingen naar ‘document weergeven’. Zodra de gebruiker op de link klikt, gaat hij naar een schadelijke phishing-webpagina.
De campagne richt zich op veel personen met verschillende titels binnen verschillende organisaties. Hierdoor treffen de dreigingsactoren honderden gebruikers, zoals Sales Directors, Account Managers en Finance Managers, wereldwijd. De campagne treft ook individuele executives, zoals Vice President Operations, Chief Financial Officers & Treasurer en President & CEO’s. De diverse selectie van doelwitten duidt op een praktische strategie die zich focust op het in gevaar brengen van accounts met verschillende toegangsniveaus tot waardevolle bronnen en verantwoordelijkheden in verschillende organisatorische functies.
Dreigingsanalisten identificeren specifieke Indicators of Compromise (IOC’s) die linken naar de campagne. Zo gebruiken de dreigingsactoren een specifieke Linux user-agent tijdens de toegangsfase van de aanvalsketen. Zo krijgen ze toegang tot de aanmeldingsapplicatie ‘OfficeHome’ en ongeautoriseerde toegang tot aanvullende native Microsoft 365-applicaties, zoals:
|
Succesvolle initiële toegang leidt vaak tot een reeks ongeoorloofde activiteiten na het compromitteren, waaronder MFA-manipulatie, data-exfiltratie, interne en externe phishing en financiële fraude. Ook mailboxregels, waarbij aanvallers speciale verduisteringsregels voor het uitwissen van hun sporen en het verwijderen van kwaadaardige activiteiten uit de mailbox van de slachtoffers maken, behoort in deze reeks. De operationele infrastructuur De forensische analyse wijst uit dat de aanval verschillende proxy’s, datahostingdiensten en gekaapte domeinen aan het licht brengt. Deze vormen de operationele infrastructuur van de aanvallers. Door het gebruik van proxyservices, die de ogenschijnlijke geografische herkomst van ongeautoriseerde activiteiten afstemmen op die van de beoogde slachtoffers, omzeilen ze het geo-fencingbeleid. Bovendien stelt het gebruik van vaak wisselende proxyservices dreigingsactoren in staat om hun ware locatie te verhullen. Dit vormt een extra uitdaging voor verdedigers die deze activiteiten blokkeren. Daarnaast gebruiken de dreigingsactoren bepaalde lokale vaste ISP’s. Dit belemmert het weergeven van hun geografische locatie. Wat opvalt onder deze non-proxy bronnen zijn het in Rusland gevestigde ‘Selena Telecom LLC’ en de Nigeriaanse providers 'Airtel Networks Limited' en 'MTN Nigeria Communication Limited'. De campagne is nog niet toegeschreven aan een bekende dreigingsactor. Toch bestaat de mogelijkheid dat er Russische en Nigeriaanse aanvallers bij betrokken zijn. Dit trekt parallellen met eerdere cloudaanvallen. Versterk de verdediging van organisaties De volgende vijf maatregelen dragen bij aan het versterken van de verdediging van een organisatie: |
|
Het Cloud Security Response Team van Proofpoint volgt deze dreiging op de voet. En op basis van latere ontdekkingen, kunnen aanvullende IOC’s worden toegevoegd.
Lees voor meer informatie het volledige, Engelstalige bericht. |
Meer over
Lees ook
Facebook lanceert platform om informatie over cybercrime uit te wisselen
Facebook wil bedrijven helpen cyberaanvallen effectiever en efficiënter aan te pakken door een platform op te zetten voor het delen van informatie over cybermisdaad. Bedrijven kunnen allerlei data over cyberaanvallen waarmee zij zijn geconfronteerd delen met andere bedrijven, die deze data kunnen inzetten om cyberaanvallen eerder op te sporen en beter aan te kunnen pakken. Het nieuwe platform heet ThreatExchange. Bedrijven die doelwit worden van cybercriminelen, kunnen data die zij over de aanval verzamelen op het platform delen met andere bedrijven. Denk hierbij aan malafide URL’s die worden1
‘Veel cybercriminelen beginnen met digitale diefstallen in games’
Hoe ontstaan eigenlijk cybercriminelen? Cybercriminelen die zich bezig houden met serieuze cybercriminaliteit blijken in de praktijk vaak te zijn begonnen bij kleinschalige digitale diefstallen in met name online games. Vanaf deze relatief onschuldige misdaden groeien de aanvallers door tot volleerde cybercriminelen, die veel schade kunnen veroorz1
Hackers stelen medische gegevens van tientallen miljoenen Amerikanen
Opnieuw hebben hackers een enorme hoeveelheid persoonlijke informatie weten te stelen. Cybercriminelen hebben ingebroken bij Anthem, de op één na grootste medische verzekeraar van de Verenigde Staten. Hier hebben zij klantgegevens van tientallen miljoenen Amerikanen weten buit te maken. Anthem meldt de cyberaanval zelf in een verklaring. Hackers z1