Microsoft heeft details bekendgemaakt van een grootschalige, meerfasige phishing-campagne die gestolen inloggegevens gebruikt om apparaten op het netwerk van een slachtoffer te registreren om spam-e-mails verder te verspreiden en de infectiepool te vergroten.
De techgigant zei dat de aanvallen zich manifesteerden via accounts die niet beveiligd waren met behulp van multi-factor authenticatie (MFA), waardoor het voor de tegenstander mogelijk werd om te profiteren van het bring-your-own-device (BYOD)-beleid van het doelwit en hun eigen malafide apparaten die de gestolen inloggegevens gebruiken.
De aanvallen vonden plaats in twee fasen. "De eerste campagnefase omvatte het stelen van inloggegevens in doelorganisaties die voornamelijk gevestigd zijn in Australië, Singapore, Indonesië en Thailand", Microsoft 365 Defender Threat Intelligence Team zei in een technisch rapport dat deze week is gepubliceerd.
"Gestolen inloggegevens werden vervolgens gebruikt in de tweede fase, waarin aanvallers gecompromitteerde accounts gebruikten om hun positie binnen de organisatie uit te breiden via laterale phishing en buiten het netwerk via uitgaande spam."
De campagne begon met gebruikers die een phishing-lokmiddel van het merk DocuSign ontvingen dat een link bevatte, die de ontvanger na het klikken doorstuurde naar een frauduleuze website die zich voordeed als de inlogpagina voor Office 365 om de inloggegevens te stelen.
De diefstal van inloggegevens resulteerde niet alleen in het compromitteren van meer dan 100 mailboxen van verschillende bedrijven, maar stelde de aanvallers ook in staat een inboxregel te implementeren om detectie te dwarsbomen. Dit werd gevolgd door een tweede aanvalsgolf die misbruik maakte van het ontbreken van MFA-beveiligingen om een onbeheerd Windows-apparaat in te schrijven bij de Azure Active Directory van het bedrijf (AD) instantie en verspreid de kwaadaardige berichten.
Door het door de aanvaller bestuurde apparaat met het netwerk te verbinden, maakte de nieuwe techniek het levensvatbaar om de aanvallers voet aan de grond te krijgen, de aanval heimelijk te verspreiden en zijwaarts door het gerichte netwerk te bewegen.
"Om de tweede golf te lanceren, maakten de aanvallers gebruik van de gecompromitteerde mailbox van de gebruiker om kwaadaardige berichten naar meer dan 8,500 gebruikers te sturen, zowel binnen als buiten de organisatie van het slachtoffer", aldus Microsoft. "De e-mails gebruikten een uitnodiging voor het delen van SharePoint als berichttekst in een poging de ontvangers ervan te overtuigen dat het 'Payment.pdf'-bestand dat werd gedeeld legitiem was."
De ontwikkeling komt omdat op e-mail gebaseerde social engineering-aanvallen nog steeds de meest dominante manier zijn om bedrijven aan te vallen om voor het eerst toegang te krijgen en malware op gecompromitteerde systemen te laten vallen.
Eerder deze maand heeft Netskope Threat Labs bekendgemaakt een kwaadaardige campagne toegeschreven aan de OceaanLotus groep die op handtekeningen gebaseerde detecties omzeilde door niet-standaard bestandstypen zoals webarchiefbestand (.MHT) bijlagen te gebruiken om informatie-stelende malware te implementeren.
Naast het inschakelen van MFA, kan het implementeren van best practices zoals goede hygiëne van referenties en netwerksegmentatie "de 'kosten' verhogen voor aanvallers die proberen zich via het netwerk te verspreiden."
"Deze best practices kunnen het vermogen van een aanvaller om lateraal te verplaatsen en activa te compromitteren na de eerste inbraak beperken en moeten worden aangevuld met geavanceerde beveiligingsoplossingen die inzicht bieden in domeinen en dreigingsgegevens coördineren tussen beveiligingscomponenten", voegde Microsoft eraan toe.
