ФБР предупредило о новом наборе инструментов «Фишинг как сервис» (Phishing-as-a-Service, PhaaS), который нацелен на учетные записи Microsoft 365 в рамках сложной, но легкодоступной кампании.
Сервис Kali365 PhaaS позволяет хакерам получать постоянный доступ к средам Microsoft 365 путем кражи токенов OAuth с помощью фишинговых писем, созданных искусственным интеллектом, которые направляют пользователей на легитимные страницы проверки Microsoft. Как только злоумышленник получает токен OAuth, он может получить доступ к сервисам Outlook, Teams и OneDrive без необходимости проходить какие-либо дополнительные механизмы проверки или аутентификации.
«Платформы «Фишинг как сервис» (PaaS), такие как Kali365, становятся все более распространенными, что превращает хакерство в высококоммерциализированный бизнес по подписке. Это означает, что злоумышленники теперь могут использовать эти готовые наборы вместо того, чтобы создавать инфраструктуру с нуля, что значительно снижает порог вхождения», — говорит Дебора Галеа (Deborah Galea), эксперт по кибербезопасности в Filigran.
Подобные фишинговые кампании полагаются на человеческую ошибку для взлома учетных записей, но, к счастью, есть несколько шагов, которые можно предпринять, чтобы обезопасить учетные записи и более широкие среды Microsoft 365. Вот 3 способа, с помощью которых можно защитить себя от кампании Kali365 PhaaS.
Фишинговая бдительность
Фишинговые письма бывают разных форматов. Это могут быть приглашения на собеседование, запросы на доступ к документам и все, что угодно между этим. Хакеры используют инструменты ИИ для создания чрезвычайно убедительных фишинговых писем, которые могут обходить фильтры обнаружения спама и смешиваться с обычным почтовым трафиком.
«Kali365 особенно опасен, поскольку он обходит многофакторную аутентификацию (MFA) без кражи учетных данных и позволяет хакерам захватывать учетные записи Microsoft 365. Мы советуем компаниям внедрять превентивные меры, такие как ограничение потока кода устройства, блокировка передачи аутентификации и внедрение устойчивой к фишингу MFA», — замечает Галеа.
IT-администраторам следует обращать внимание на последние указания, поступающие из каналов разведки угроз, относительно тенденций фишинговых писем и текущих кампаний. Кроме того, персонал можно обучить выявлять фишинговые письма и сообщать о них с помощью регулярных симуляций, имитирующих реальные тактики, техники и процедуры (TTPs), используемые хакерами. Пользователи также должны сохранять бдительность в отношении неожиданных запросов на аутентификацию учетной записи Microsoft, особенно когда пользователь не пытался войти в систему.
Политики условного доступа (Conditional Access Policies)
ФБР рекомендует включить политики условного доступа, которые блокируют поток кода устройства (device code flow) для всех пользователей. Блокировка потока кода устройства мешает работе основного механизма перехвата кода Kali365 OAuth. В рабочем процессе атаки Kali365 хакер отправляет заранее сгенерированный код устройства со своего устройства вместе с легитимной страницей проверки Microsoft.
«Предупреждение ФБР по Kali365 подтверждает тенденцию, которую мы наблюдаем в корпоративных средах Microsoft 365 уже месяцами. Злоумышленники больше не взламывают Microsoft 365, они входят в систему, используя функции, которые Microsoft создала для легитимных целей. Поток кода устройства существует не просто так, именно так умные телевизоры и устройства IoT подключают вас к вашей учетной записи. Злоумышленники просто поняли, что это отличный примитив для фишинга, поскольку именно пользователь нажимает «одобрить» на настоящей странице Microsoft. MFA не может спасти вас от процесса, где пользователь сам проходит MFA», — говорит Андреа Сивиери (Andrea Sivieri), главный директор по продуктам и технологиям в CoreView.
Код, присланный злоумышленником, затем вводится жертвой на странице аутентификации, которая авторизует вход злоумышленника в учетную запись жертвы. Затем злоумышленник похищает токены доступа и обновления OAuth (access and refresh tokens), чтобы получить доступ к Outlook, Teams и OneDrive без необходимости в пароле или аутентификации.
«Досадная часть заключается в том, что основная рекомендация ФБР — блокировка потока кода устройства с помощью политики условного доступа — это то, что любой администратор Microsoft 365 мог бы включить сегодня после обеда. Причина, по которой большинство организаций этого не сделали, заключается в том, что условный доступ в реальной корпоративной среде — это хаотичное разрастание политик, которые редактировались двадцатью разными людьми в течение пяти лет. Никто до конца не уверен, что именно сломается, если заблокировать один поток. Поэтому политика остается открытой, а злоумышленники продолжают свой бизнес», — отметил Сивиери.
Благодаря блокировке этого метода аутентификации, даже если жертва попадется на фишинговое письмо и введет код, вход злоумышленника потерпит неудачу. Но перед применением универсального блокировка потока кода устройства обязательно проведите аудит текущего использования, чтобы определить, где аутентификация с помощью потока кода устройства используется легитимно. Блокировка законного использования при определенных обстоятельствах может нарушить повседневную деятельность.
Блокировка политик передачи аутентификации (Block Authentication Transfer Policies)
Чтобы облегчить жизнь пользователям 365, Microsoft добавила функцию, которая позволяет пользователю использовать доверенное устройство для сканирования QR-кода, отображаемого на другом устройстве, для аутентификации входа. Однако, эта удобная функция облегчает злоумышленникам аутентификацию собственного доступа к учетной записи жертвы после того, как они похитили токены OAuth.
СпецпроектыБеріть участь у конкурсі авторських статей від Proove: вигравайте крутий електросамокат та інші призиНайтонший робот-пилосос в Україні: що варто знати про Dreame X60 Ultra Complete
«Здесь есть более важный урок для любой организации, которая ведет свой бизнес на Microsoft 365. Следующий взлом в крупной компании начнется не с того, что хакер использует уязвимость. Он начнется с того, что сотрудника очень вежливо попросят выполнить легитимное действие внутри легитимного продукта Microsoft. Защита — это не лучшие технологии, это видимость в реальном времени того, что на самом деле меняется внутри корпоративной среды, и дисциплина пересматривать политики безопасности, которые незаметно устаревают», — добавляет Сивиери.
Получив доступ к учетной записи жертвы, злоумышленник может использовать свое новое «доверенное» устройство для аутентификации собственных запросов на доступ к учетной записи. Блокировка блокировки политики передачи аутентификации не только останавливает злоумышленников от аутентификации собственных сессий, но и может помочь предотвратить вход сотрудников с неуправляемых личных устройств, что может поставить под угрозу данные компании.
Китаєць майже 5 років крав оборонне ПЗ у NASA та армії США через звичайні фішингові листи
Источник: TechRadar
