Főnöknek adják ki magukat a hekkerek, hogy ellopják a Microsoft 365-adataidat

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A magát Helixnek nevező cyberbűnözői csoport talán új szereplő, a módszerei viszont egyáltalán nem azok.

A ReliaQuest friss kutatása szerint a Helix adat-zsarolási kampányokat folytat, amelyekben hangalapú adathalászatot (vishing), Microsoft device code alapú adathalászatot és automatizált SharePoint-adatlopást kombinál. A biztonsági cég nem tudja egyértelműen a BlackFile-hoz vagy a ShinyHuntershez kötni a csoportot, de úgy látja, a hasonlóságok túl erősek ahhoz, hogy véletlenek legyenek.

A támadások nem kártevővel indulnak. Egy telefonhívással kezdik.

Az egyik esetben az állítólagos támadó a hívóazonosítót meghamisítva a sértett felettesének adta ki magát, és rábeszélte az alkalmazottat, hogy írjon be egy Microsoft device code-ot a Chrome-ba. Az áldozat soha nem adta meg a jelszavát, de ez nem számított. A device code folyamat így is hitelesített hozzáférést adott a támadónak.

Innen a beszámolók szerint nem is vesztegették az időt. A ReliaQuest szerint a Helix jellemzően saját MFA hitelesítőt regisztrál a feltört fiókon, hogy tartósan hozzáférjen, csendben átnézi a SharePoint-tartalmakat, majd automatizált eszközökre vált, amelyek nagy mennyiségű adatot keresnek és töltenek le. A cég azt is megfigyelte, hogy a támadók lakossági proxy szolgáltatásokat használnak, olyan IP-címekkel, amelyek megegyeznek az áldozat városával, így a bejelentkezések sokkal leGititimnek tűnnek.

A ReliaQuest úgy véli, a Helix ugyanahhoz a bűnözői ökoszisztémához tartozhat, amelyből a BlackFile és a ShinyHunters is kinőtt. Az egyik bizonyíték az infrastruktúra. A Helix által adatkiáramoltatásra használt egyik IP-cím mindössze négy címmel van arrébb egy olyan IP-től, amelyet korábban a BlackFile-hoz kötöttek, ugyanazon a hosting szolgáltatónál. Az oskeysync[.]com adathalász domain-t pedig olyan regisztrátoron keresztül jegyezték be, amely már többször felbukkant BlackFile-, ShinyHunters- és Scattered Spider-kampányokban.

Számomra az volt a legfeltűnőbb, mennyire kevés kártevőt használnak. Ez alapvetően identitás elleni támadás. Rávesznek valakit, hogy hozzáférést adjon, regisztrálják a saját MFA-módszerüket, majd leGititim Microsoft-szolgáltatásokkal lopják el az adatokat. Az ilyen behatolást sokkal nehezebb észrevenni, mint egy kártékony futtatható állományt.

A ReliaQuest szerint a szervezeteknek, ha csak lehet, ki kell kapcsolniuk a Microsoft device code alapú hitelesítést, mert ez volt az elsődleges belépési pont az általuk vizsgált támadásokban. Ha ez nem megoldható, azt javasolják, hogy korlátozzák a hozzáférést menedzselt eszközökre, követeljenek megfelelőségi szintet a Microsoft 365-szolgáltatások – például a SharePoint – eléréséhez, és blokkolják az újonnan regisztrált domaineket, amelyeket gyakran használnak adathalász kampányokban.

A csoportok nevei folyamatosan változnak, a forgatókönyv viszont nem. Amíg a támadók rá tudják venni az embereket, hogy jóváhagyják a hozzáférést, addig jóval ritkábban kell majd kártevőkre támaszkodniuk.