Поделиться
Хакеры выманили привилегированные аккаунты Microsoft для атак на топ-менеджеров и финансистов
Социальная инженерия сработала не только против клиентов облачных ресурсов Microsoft, но и против самого вендора: злоумышленники смогли получить партнерский статус, хоть и ненадолго.
Под прикрытием Microsoft
Корпорация Microsoft объявила об отключении нескольких аккаунтов в партнерской сети Microsoft Partner Network. Они были частью продвинутой фишинговой кампании, нацеленной главным образом на корпоративных пользователей в Великобритании и Ирландии. Но Microsoft также можно отнести к жертвам: партнерский статус этим аккаунтам был присвоен вследствие обмана.
Аккаунты использовались злоумышленниками для распространения вредоносных приложений, использующих протокол авторизации Oauth. С помощью этих приложений затем компрометировались чужие облачные ресурсы и почтовые аккаунты.
Злоумышленники использовали социальную инженерию, чтобы выманить у жертв авторизацию этих приложений в своей облачной инфраструктуре.
Компания Proofpoint выпустила отчет, в котором указывалось, что злоумышленники использовали статус «проверенного издателя» приложений для проникновения в облачные среды целевых организаций.
Хакеры выдавали себя за представителей популярных брендов, таких как Zoom например. И им удалось обмануть не только целевые организации, но и Microsoft.
«Злоумышленники использовали мошеннические партнерские аккаунты, чтобы получить отметку проверенного издателя для OAuth-приложений, созданных в Azure AD», — говорится в сообщении компании.
Разрешите, пожалуйста...
Мошеннические приложения запрашивали множество разрешений, в том числе на такие действия как доступ на чтение электронной почты, изменение настроек почтовых ящиков, доступ к файлам и другим данным, связанным с аккаунтом жертвы.
Конечными жертвами атак оказывались представители финансовых и маркетинговых департаментов целевых компаний, а также менеджеры и директора.
Первые атаки были отмечены в начале декабря 2022 г., когда злоумышленники с помощью поддельных облачных приложений, якобы выпущенных Zoom, произвели вывод конфиденциальных данных.
Были замечены три вредоносных облачных приложения, которые исходили якобы от трех разных издателей. Но все они были нацелены на одни и те же компании и использовали одну и ту же инфраструктуру.
20 декабря 2022 г. компания Proofpoint уведомила Microsoft о происходящем, и 27 декабря все мошеннические аккаунты были заблокированы. В Microsoft отметили, что приняли дополнительные меры безопасности, чтобы подобные инциденты впредь не повторялись.
«Произошедшее свидетельствует о том, что работали профессионалы высшей пробы, и что против социальной инженерии не всегда могут устоять даже крупные технологические компании, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Ситуации, когда сертификаты безопасности, например, оказывались в руках злоумышленников и использовались в кибератаках, в прошлом происходили не раз, но так, чтобы обманом выманить привилегированный статус партнера Microsoft, — это нечастое явление».
Короткая ссылка
