Ssylka

Новая эра киберугроз: законные инструменты в арсенале взломщиков Microsoft 365

Киберпреступники постоянно совершенствуют свои методы, и последние тенденции указывают на тревожную эволюцию в тактике атак на Microsoft 365. Теперь злоумышленники активно используют легитимные HTTP-клиенты, такие как Axios, Node Fetch и Go Resty, для проведения атак типа «подбор паролей» (password spraying) и захвата учетных записей (Account Takeover, ATO).
Новая эра киберугроз: законные инструменты в арсенале взломщиков Microsoft 365
Изображение носит иллюстративный характер

Атаки ATO стали настоящим бичом для пользователей Microsoft 365. Исследование, проведенное компанией Proofpoint, возглавляемой специалистом по кибербезопасности Анной Акселевич, показало, что во второй половине прошлого года 78% арендаторов Microsoft 365 хотя бы раз становились мишенью для атак ATO. Злоумышленники не гнушаются применять технику «злоумышленник посередине» (Adversary-in-the-Middle, AitM), используя такие платформы, как Evilginx, чтобы перехватывать учетные данные и коды многофакторной аутентификации (MFA).

Начиная с февраля 2018 года наблюдались грубые атаки методом перебора, использующие OkHttp. В начале 2024 года варианты OkHttp использовались для нацеливания на Microsoft 365. Уже в марте 2024 года произошло заметное расширение арсенала инструментов, используемых злоумышленниками, с увеличением использования более широкого спектра HTTP-клиентов. Пик атак пришелся на май 2024 года, когда злоумышленники использовали миллионы скомпрометированных домашних IP-адресов.

После успешного взлома учетной записи злоумышленники предпринимают ряд действий, направленных на закрепление и развитие своего успеха. Они настраивают правила для почтовых ящиков, крадут конфиденциальные данные, а также создают фиктивные OAuth-приложения для дальнейшей эксплуатации скомпрометированной учетной записи.

Статистика, собранная Proofpoint, демонстрирует масштаб и эффективность этих атак. Только с 9 июня 2024 года было зафиксировано более 13 миллионов попыток входа в систему с использованием Node Fetch и Go Resty. В среднем это составляет около 66 000 вредоносных попыток в день. Несмотря на огромный объем, процент успешных взломов в этой кампании составил около 2%. Однако, это привело к компрометации более 178 000 учетных записей пользователей, принадлежащих более чем 3000 организациям.

Отдельного внимания заслуживает кампания, использующая Axios, проводившаяся с июня по ноябрь 2024 года. Она оказалась успешной для злоумышленников в 51% случаев, приведя к компрометации 43% целевых учетных записей. Особую обеспокоенность вызывает тот факт, что определенные отрасли и роли становятся приоритетными целями для киберпреступников.

В частности, кампания с использованием Axios была нацелена на компании из сферы транспорта, строительства, финансов, информационных технологий и здравоохранения. Внутри этих организаций злоумышленники фокусировались на учетных записях руководителей, финансовых директоров, менеджеров по работе с клиентами и операционного персонала.

Образовательный сектор также находится под прицелом злоумышленников, причем особую уязвимость демонстрируют учетные записи студентов. Учитывая ограниченные ресурсы и часто недостаточную осведомленность в вопросах кибербезопасности, студенческие аккаунты становятся легкой добычей для хакеров.


Новое на сайте

15310 15309Кэти перри и женский полёт на ракету Blue Origin вызвали бурю мнений 15308Как искусство помогает помнить о оккупации Гуэрнси? 15307Как лесные пожары в амазонии влияют на таяние антарктического льда? 15306Как пережить вдовство в 24 года: история Тании Помрой и сила TikTok 15305Может ли вселенная вращаться раз в 500 миллиардов лет? 15304Уязвимость в маршрутизаторах ASUS AiCloud: обновления прошивки обязательны 15303Жизнь с нарциссическим расстройством: взгляд изнутри 15302Почему лауреат Bafta прячет свою награду от маленькой дочери? 15301Как новое световое оформление изменит интерьер церкви? 15300Вирусный успех Vicky Ball — почему она не бросает работу преподавателя? 15299Темная галактика у млечного пути: открытие загадочного газового объекта 15298Новый цвет: "оло" и его открытие 15297Как музыкальная безопасность завоевывает молодежь: новый альбом CPSC 15296Влияние соцсетей и инфлюенсеров усиливает женоненавистничество в школах